Чего стоит информационная безопасность на бумаге?

К написанию данного материала меня подтолкнула недавняя дискуссия в твиттере на тему информационной безопасности между NTarakanov ^[1] и @alukatsky. По сути весь флейм сводился к тому, что «бумажные» аудиторы сидят в штабе и cгущенку хомячат, а простые пацаны себе на IDA заработать не могут.
Мало кто знает, но сейчас проходит V Юбилейный Уральский форум «Информационная безопасность банков» ^[2]

На этом форуме собрались ветераны информационной безопасности для обсуждения важных вопросов. Однако, король-то сам голый. Подробности под катом.

Итак, поехали. На самом сервере расположены следующие сайты по ИБ форумам:
• pd-forum.ru ^[3]
• www.ib5.ib-bank.ru ^[4]
• www.ib-bank.ru ^[5]
Рассмотрим грубейшие ошибки, допущенные на каждом из сайтов.
По адресу www.ib-bank.ru/info.php ^[6] нам, видимо, показывают с помощью phpinfo(), как правильно настраивать PHP для максимально удобной эксплуатации и заливки шеллов. Отмечу основные лулзы:
• allow_url_fopen – для того, чтобы шелл заливать было удобней;
• display_errors – вывод ошибок для удобства SQL injection;
• register_globals – старый конь борозды не портит;

Под CRLF Injection/HTTP Respose Splitting попадают
www.ib-bank.ru/index.php ^[7]
www.ib-bank.ru/gallery/addfav.php ^[8]

Форма восстановления пароля, расположенная по адресу http://ib-bank.ru/gallery/forgot_passwd.php ^[9], не содержит каких-либо признаков защиты от CSRF, надо полагать, для экономии трафика.

Также в наличии немного исходного кода и бэкапов:
www.ib-bank.ru/index.php_ ^[10]
www.ib-bank.ru/gallery/sql/schema.sql ^[11]

По адресу http://www.ib5.ib-bank.ru/.htpasswd ^[12] нас ждет хэш пароля в открытом доступе.

Вероятно, так надо по 152-фз, PCI DSS, СТО БР ИББС, я не специалист по ИБ, так что судить не берусь.

По адресу http://journal.ib-bank.ru/feedback ^[13] нас ждет банальный множественный XSS.

Можете сами проверить, подставив во все поля
1" onfocus=prompt(1337) autofocus=true lol="
Только галочку «Я не робот» не ставьте, а то чуда не произойдет. Такая вот своеобразная нынче защита от роботов.

По адресу
http://journal.ib-bank.ru/template/modules/calendar/ calendar.php_ ^[14]
нас ожидает любезно забытый бэкап кода календаря.

На странице http://pd-forum.ru/qr.php ^[15] можете задать вопрос регулятору и заодно увидеть опять множественный XSS.

Главное опять быть роботом. Текст для копипасты в поля следующий
1" onmouseover=prompt(1337) lol="

Файлы советую качать тут http://pd-forum.ru/files/ ^[16]
Они там, как и во всех директориях просто показываются списком.

Куски исходников показываются тут:
http://pd-forum.ru/index.php_ ^[17]
http://pd-forum.ru/prg.php_ ^[18]
http://pd-forum.ru/prg.php_old

То, что на всех этих сайтах cookie устанавливаются без httpOnly флага в данной ситуации, – это нормально.

Теперь внимение вопрос к знатокам: чем занимаются все эти люди?

Выводы об аудиторах, не делающих аудит себе, делайте сами, я свой уже сделал. Для меня «бумажный» аудит стал синонимом слова распил. В России по сути только Digital Security (привет парни) и Positive Technologies заняты делом, поэтому и признаны за рубежом. Ни в одной из этих компаний я не работаю, так что не считайте это рекламой.


Автор: 090h

Источник ^[19]