Чего стоит информационная безопасность на бумаге?

в 22:38, , рубрики: информационная безопасность, метки:

К написанию данного материала меня подтолкнула недавняя дискуссия в твиттере на тему информационной безопасности между NTarakanov и @alukatsky. По сути весь флейм сводился к тому, что «бумажные» аудиторы сидят в штабе и cгущенку хомячат, а простые пацаны себе на IDA заработать не могут.
Мало кто знает, но сейчас проходит V Юбилейный Уральский форум «Информационная безопасность банков»
Чего стоит информационная безопасность на бумаге?
На этом форуме собрались ветераны информационной безопасности для обсуждения важных вопросов. Однако, король-то сам голый. Подробности под катом.

Итак, поехали. На самом сервере расположены следующие сайты по ИБ форумам:
pd-forum.ru
www.ib5.ib-bank.ru
www.ib-bank.ru
Рассмотрим грубейшие ошибки, допущенные на каждом из сайтов.
По адресу www.ib-bank.ru/info.php нам, видимо, показывают с помощью phpinfo(), как правильно настраивать PHP для максимально удобной эксплуатации и заливки шеллов. Отмечу основные лулзы:
• allow_url_fopen – для того, чтобы шелл заливать было удобней;
• display_errors – вывод ошибок для удобства SQL injection;
• register_globals – старый конь борозды не портит;

Под CRLF Injection/HTTP Respose Splitting попадают
www.ib-bank.ru/index.php
www.ib-bank.ru/gallery/addfav.php

Форма восстановления пароля, расположенная по адресу http://ib-bank.ru/gallery/forgot_passwd.php, не содержит каких-либо признаков защиты от CSRF, надо полагать, для экономии трафика.

Также в наличии немного исходного кода и бэкапов:
www.ib-bank.ru/index.php_
www.ib-bank.ru/gallery/sql/schema.sql

По адресу http://www.ib5.ib-bank.ru/.htpasswd нас ждет хэш пароля в открытом доступе.
Чего стоит информационная безопасность на бумаге?
Вероятно, так надо по 152-фз, PCI DSS, СТО БР ИББС, я не специалист по ИБ, так что судить не берусь.

По адресу http://journal.ib-bank.ru/feedback нас ждет банальный множественный XSS.
Чего стоит информационная безопасность на бумаге?

Можете сами проверить, подставив во все поля
1" onfocus=prompt(1337) autofocus=true lol="
Только галочку «Я не робот» не ставьте, а то чуда не произойдет. Такая вот своеобразная нынче защита от роботов.

По адресу
http://journal.ib-bank.ru/template/modules/calendar/ calendar.php_
нас ожидает любезно забытый бэкап кода календаря.

На странице http://pd-forum.ru/qr.php можете задать вопрос регулятору и заодно увидеть опять множественный XSS.
Чего стоит информационная безопасность на бумаге?
Главное опять быть роботом. Текст для копипасты в поля следующий
1" onmouseover=prompt(1337) lol="

Файлы советую качать тут http://pd-forum.ru/files/
Они там, как и во всех директориях просто показываются списком.

Куски исходников показываются тут:
http://pd-forum.ru/index.php_
http://pd-forum.ru/prg.php_
http://pd-forum.ru/prg.php_old

То, что на всех этих сайтах cookie устанавливаются без httpOnly флага в данной ситуации, – это нормально.

Теперь внимение вопрос к знатокам: чем занимаются все эти люди?
Чего стоит информационная безопасность на бумаге?

Выводы об аудиторах, не делающих аудит себе, делайте сами, я свой уже сделал. Для меня «бумажный» аудит стал синонимом слова распил. В России по сути только Digital Security (привет парни) и Positive Technologies заняты делом, поэтому и признаны за рубежом. Ни в одной из этих компаний я не работаю, так что не считайте это рекламой.

Автор: 090h

Источник

Поделиться

* - обязательные к заполнению поля