информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Неприятные уязвимости в роутерах... 
 Chrome отмечает десятилетие редизайном 
 Foreshadow продолжает дело Meltdown... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / www
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Уязвимости в рейтинге RAX.ru
Terabyte, http://www.web-hack.ru
Опубликовано: dl, 01.08.03 12:37

В данной статье я хочу рассказать о найденной уязвимости в рейтинговой системе RAX.ru. Cтатья предназначена для админов RAX.ru ;-) , для админов других систем и вообще для всех людей, интересующихся сетевой безопасностью. Не буду лить много воды и употреблять много пустых слов, а сразу перейду к делу.

Мной было замечено, что все счетчики этой системы (www.rax.ru) используют ОДИНАКОВЫЙ код (ну почти одинаковый, за исключением параметра отвечающего за тип счетчика - его цвет и т.д.). Под одинаковым кодом я понимаю следующее: в отличие от других систем (SpyLog, HotLog и т.д.), в коде счетчика системы RAX не передается ID (идентификатор) счетчика или учетной записи. Логином для входа в систему является адрес сайта, на котором будет стоять счетчик (для своего исследования я зарегистрировал счетчик для сайта xforum.pp.ru).

Спецификой вычисляемой статистки со счетчиков является то, что она засчитывает загрузки счетчиков, имеющихся в базе рейтинга. То есть, если у вас есть сайт www.web-hack.ru (допустим, на него зарегистрирован счетчик), и у этого сайта есть зеркало по адресу www.web-hack.com, то все загрузки с сайта-зеркала не будут засчитаны. Для таких целей в аккаунте участников рейтинга (меню "изменение описания") есть специальное поля ввода "Синонимы", в которое и вводятся зеркала основного сайта. "А что, если ввести в это поле сайты из рейтинга (на всех сайтах ведь одинаковый код счетчика)?" - подумал я =) Я ввел первый попавшийся мне сайт (для примера, назовем сайт - lamer.ru), и... Меня ждал облом, так как система просто удалила его. Но, подумав еще, я зашел на подопытный сайт и, найдя на нем существующую директорию (на веб-сервере), из которой тоже грузились страницы со счетчиков (к примеру - lamer.ru/test/), ввел ее в наше поле "Синонимы".

На этом этапе меня и ждал успех, так как система не удалила этот путь, и адрес lamer.ru/test/ стал зеркалом моего сайта, несмотря на то что в рейтинге участвовал уже сайт в домене lamer.ru. К сожалению, у поля ввода было задано ограничение maxlength=250 (возможно, скрипт и не обрезает эти 250 символов, если к нему обратиться с вручную состряпанной формой, я просто не проверял), и я мог вбить адресов только на 250 символов. Хотя и это уже неплохо =)

Я быстро пробежался по рейтингу, выбрал самые посещаемые сайты, нашел директории с хорошо посещаемыми страницами и вбил их в поле "Синонимы". Спустя 19 часов мой сайт был в верхушке топа "Компьютеры":

А еще через час офигевшие админы (количество хостов в тот момент было 43000, а хитов - больше 520000) удалили меня из рейтинга, то есть не удалили мой аккаунт (он до сих пор жив), а просто запретили сайту отображаться в рейтинге сайтов (хочу заметить, что в моем списке сайтов стоял и путь rax.ru/rating/). Если бы я не хамил с количеством сайтов в моем списке синонимов (и не написал бы эту статью :-), то таким образом можно было хорошо поднимать себя в рейтинге и понтоваться перед друзьями (ведь мой сайт был выше известного NoNaMe). Но, к сожалению, я понял еще одну вещь: даже если ваш сайт почти в верхушке популярного топа (а у меня был вполне популярный топ - Компьютеры), на него все равно будет заходить мало народу из рейтинга (используя статистику я посмотрел что на сайт стало заходить всего на 5-7 человек больше, чем обычно из этого рейтинга). [Примечание редактора: Когда-то подобная накрутка рейтингов действительно имела смысл, и первые места в популярных категориях Rambler'а до сих способны привести на сайт несколько сотен дополнительных посещений. Но прочие рейтинги никогда не приближались к рамблеровским показателям, да и они в последнее время пошли на убыль.]

С помощью этой оплошности админов можно было получить и еще одну полезную вещь, кроме накрутки счетчика, а именно получать интересные данные с сайтов, доступ к статистике которых закрыт из их аккаунтов (например, в рейтинге были порно сайты) ;-)

Пользуясь случаем, хочу заметить еще об одной оплошности этой системы. Главный адрес сайта, по которому регистрируется счетчик, нельзя изменить через веб-интерфейс, а нужно писать письмо суппортам на адрес counter@rax.ru, в котором указывается старый адрес сайта и новый. Кроме этих двух строчек суппорты не требуют НИЧЕГО (я лично проверял, причем делал заявку от иного мыла, указанного при регистрации). Они даже не спрашивают пароля от аккаунта. Надеюсь, эта статья даст им много информации для размышлений о безопасности работы сервиса.

Если у кого то возникли вопросы, то вы можете их задавать в этой теме. И почаще посещайте мой форум по сетевой безопасности :)

P.S. Администрация RAX.ru о данной проблеме уже извещена.

обсудить  |  все отзывы (0)  

[13520; 7; 8]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach