- PVSM.RU - https://www.pvsm.ru -

Безопасность сайта Умного голосования

Безопасность сайта Умного голосования - 1

Мы ни на секунду не забываем про вопросы информационной безопасности и не относимся к ним пренебрежительно. ​ Леонид Волков [1]

Первая часть [2] вышла более двух месяцев назад. После второй [3] с сайта убрали Яндекс.Метрику, правда не без говна длинного ответа [1] про «доморощенных экспертов по информационной безопасности и шапочки из фольги». Может после третьей приведут инфраструктуру в порядок.

Сайт Умного Голосования использует API по адресу https://votesmart.appspot.com/api/v1/fiasco [4]

Безопасность сайта Умного голосования - 2

у которого не выключен режим отладки, благодаря чему мы видим ироничный адрес бекэнда http://fiasco.navalny-team.org [5] и список маршрутов.

Безопасность сайта Умного голосования - 3

Помимо возможности листинга директорий на сервере протух SSL-сертификат, но это уж точно не имеет значения: запросы туда и так идут по HTTP.

Безопасность сайта Умного голосования - 4

Берем адрес https://fiasco.navalny-team.org/address/suggest/ [6] из списка маршрутов и получаем ошибку c traceback-ом и настройками сервера.

Безопасность сайта Умного голосования - 5

К слову последняя версия Django [7] - 3.2.6, а под используемую на сайте 2.2.8 есть CVE [8]. Видим настройки подключения к базам данных:

Безопасность сайта Умного голосования - 6

База данных доступна для внешних подключений на порту 5432 для пользователя test. Это PostgreSQL 10.11 (Debian 10.11-1.pgdg90+1).

Безопасность сайта Умного голосования - 7

Судя по таблице cmd_exec с полем cmd_output кто-то уже использовал её для выполнения системных команд. Благо в Metasploit для этого даже есть модуль [9]. Дальше мы можем оказаться внутри контейнера. Информацию по всем контейнерам нам заботливо оставили тут: http://fiasco.navalny-team.org:8888/docker/ [10].

Безопасность сайта Умного голосования - 8

И даже чуть больше тут: http://fiasco.navalny-team.org:9100/metrics [11]

Безопасность сайта Умного голосования - 9

Правда релиз используемой версии был в 2019 году [12], потому могут сработать многие методики [13] по повышению привилегий и получению контроля за всей системой.

На этом шаге хочется остановиться, ведь не стоит цель навредить, скорее проанализировать, изменилось ли что-нибудь за два прошедших месяца, и обратить внимание на проблемы, которые видны невооруженным взглядом.

Мы всегда читаем и слушаем все, что нам пишут, признаем ошибки и стараемся работать лучше. ​ Леонид Волков [1]

Вместо заключения хочется оставить цитату Алексея Пивоварова:
«Выводы делайте сами».

Автор: Александр

Источник [14]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/367300

Ссылки в тексте:

[1] Леонид Волков: https://www.facebook.com/leonid.m.volkov/posts/4358802630809003?_fb_noscript=1

[2] Первая часть: https://habr.com/ru/post/568842/

[3] второй: https://habr.com/ru/company/itsoft/blog/573958/

[4] https://votesmart.appspot.com/api/v1/fiasco: https://votesmart.appspot.com/api/v1/fiasco

[5] http://fiasco.navalny-team.org: http://fiasco.navalny-team.org

[6] https://fiasco.navalny-team.org/address/suggest/: https://fiasco.navalny-team.org/address/suggest/

[7] последняя версия Django: https://www.djangoproject.com/download/

[8] CVE: https://www.cvedetails.com/vulnerability-list/vendor_id-10199/product_id-18211/Djangoproject-Django.html

[9] есть модуль: https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md#postgresql-command-execution

[10] http://fiasco.navalny-team.org:8888/docker/: http://fiasco.navalny-team.org:8888/docker/

[11] http://fiasco.navalny-team.org:9100/metrics: http://fiasco.navalny-team.org:9100/metrics

[12] был в 2019 году: https://docs.docker.com/engine/release-notes/19.03/#19035

[13] методики: https://github.com/cdk-team/CDK

[14] Источник: https://habr.com/ru/post/574286/?utm_source=habrahabr&utm_medium=rss&utm_campaign=574286