22:32
5/6/2010

Wykop hacked?

Wygląda na to, że serwis Wykop.pl posiada dziurę, która umożliwia dowolnej osobie edycję opisu dowolnego znaleziska (wykopu). Szczegóły poniżej.

Dziura w Wykopie

Około godziny 19:50, opis jednego ze znalezisk figurujących na stronie głównej został podmieniony na:

Hacked by Bordeux and friends :D : Mogę wszystko robic z wykopami. Edytowac, usuwac na glowna itp. Dla administracji: Info wysłane na maila, by załatać lukę! JKM ssie

Podmieniona treść opisu znaleziska na Wykopie

W komentarzach tego znaleziska, znajduje się link prowadzący do wykopu opisującego błąd — na szczęście bez szczegółów.

Kolejne znalezisko na Wykop.pl z podmienionym opisem

Z informacji nadesłanych na naszą skrzynkę kontaktową wynika, że błąd umożliwia dowolnej osobie edytowanie opisu dowolnego wykopu albo jego całkowite usunięcie. Więcej infomacji na temat luki ujawnimy dopiero po jej załataniu.

Poprosiliśmy właścicieli Wykopu o komentarz w tej sprawie i zaktualizujemy ten tekst zaraz po jego otrzymaniu.

Dla Niebezpiecznika wypowiada się Michał Białek z Wykop.pl:

Niestety nie ma systemu idealnego bez luk, jest tylko kwestią czasu kiedy ktoś jakąś znajdzie. Podobnie było w tym wypadku. Błąd (…) dawał dodatkowe prawa moderacji wpisu, ale tylko i wyłącznie pewnej części użytkowników. Błąd dotyczył tylko grupy userów, która była moderatorami na grupach.

Społeczność Wykopu, jak to ma w zwyczaju, z humorem podeszła do dziury — w komentarzach pojawiają się prośby o usunięcie politycznego spamu i poprawianie literówek w starszych wykopach :-)

Aktualizacja 22:37
Użytkownik bordeux wyjaśnia, ze podobny do obecnego błąd już raz był w serwisie Wykop.pl:

Wykop juz naprawil ta luke. Nie byla ona zbyt trudna. Jak stworzyles grupe, miales dostep do paru rzeczy – usuwanie, edytowanie znalezisk itp. Jak klikles na edycje to przechodziles do strony: http://chorzow.wykop.pl/dodaj/edytuj/380155/chorzow-o-tym-jak-prywatyzacja-uzdrowila-sluzbe-zdrowia/-2/380155/chorzow-o-tym-jak-prywatyzacja-uzdrowila-sluzbe-zdrowia/log_ref_0,link,log_ref_m_0,index Wystarczylo usunac subdomene, i podmienic dane w linku (zmienic id i tytul) np na http://wykop.pl/dodaj/edytuj/380151/debata-4-kanydatow-w-tvp/-2/380151/debata-4-kanydatow-w-tvp/log_ref_0,link,log_ref_m_0,index Plus dla administracji, za szybkie zalatanie luki.

A więc klasyczny brak kontroli dostępu do funkcji… Błąd z tego gatunku niedawno mogliśmy oglądać w programie ZUS-u — Płatniku.

Aktualizacja 23:45
Wg znalazcy błędu, Wykop.pl usunął usterkę. Niestety, według naszej wiedzy, dalej można zmieniać opisy znalezisk… (a przynajmniej udało się, pewnemu anonimowemu, nazwijmy go — Ryśkowi). Błędów jest więcej niż jeden.

Aktualizacja 06.06.2010, 00:05
Wykop całkowicie zablokował możliwośc edycji opisów znalezisk.

P.S. Poprzednie włamanie na Wykop.pl

Warto wspomnieć, że Wykop już raz padł ofiarą włamywaczy. Wtedy udało się wykraść całą bazę danych Wykopu z hashami haseł użytkowników (bez ostatniego pół roku). Włamywacze skorzystali z …braku hasła do interface’u bazy danych na deweloperskim serwerze (IP zbliżone do prawdziwego).

Dziękujemy czytelnikom ave, grzegorz, Michallo i w8t3r za podesłane informacje

Przeczytaj także:

24 komentarzy

Dodaj komentarz
  1. Po ntej wpadce wykopu zainteresowałem się menadżerami / sejfami haseł ;) http://ittechblog.pl/2009/10/24/wpadka-wykop-pl-i-metody-przeciwdzialania/

  2. Nie wiem czy “włamywacze” w przypadku ostatniego wycieku danych to odpowiednie określenie. Wykop.pl po prostu opublikował tę bazę danych.

  3. Kolejna aplikacja pisana “na kolanie” w przerwie na reklamę przez gimnazjalistę ;>

  4. kazda strona praktycznie ma slabosci ;> a wy niebezpiecznik jakie macie ;D

    • @Puncior: my mamy słabość do pięknych kobiet i czerwonego wina ;)

  5. No to ładnie, błąd faktycznie jest i co najgorsze – nietrudno go znaleźć, oby szybko coś z tym zrobili.

  6. Generalnie wykop chyba ma gdzieś security. Tyle tych błędów, a co to się działo jak przepisywali serwis (zdaje się, że na php) to już lepiej przemilczeć.

  7. @PK: http://www.dziennik.pl/files/archive/00190/FR_shutterstock_183_190071l.jpg (pierwsze z gógla) poooodaj haaasło do wp-admin ;)

  8. @Piotr Metoda na ‘głoda’ :D

  9. no to widzę ze nie tylko tutaj mowa o grożnych rzeczach ;)

  10. wreszcie to zrobili. Bylem posrany, jak to udostepnilem, a pozniej sie okazalo ze tego jeszcze nie naprawili. Chwile grozy, co wykopowicze moga zrobic. Ale jednak na nich sie nie zawiodlem, tylko testowali, nie modyfikujac innych znalezisk

  11. “JKM ssie”
    ot taka drobna agitacja polityczna “niebezpiecznika”, podrzucona do cytatu, choć jej nie ma na załączonym, cytowanym screenie ;)

    • @LOL: Jesteśmy apolityczni, wspomniana przez Ciebie fraza była w komentarzu w momencie jego kopiowania. Pewnie ktoś przeedytował komentarz zanim zrobiliśmy screenshota. Błąd w końcu kręci się wokół możliwości edycji ;)

  12. Po tamtym włamaniu wykop.pl udostępnił pewne dane nasza-klasa.pl. Po tym zdarzeniu usunąłem konto z wykopu i nasza-klasa.pl. Moim zdaniem wykop przesadził!
    Pozdrawiam

  13. Tak, dzieciaki, popularyzujcie sejfy hasel. Jak ktorys bedzie juz dosc rozpowszechniony, to i exploit sie znajdzie. :>>>

  14. “Błąd dotyczył tylko grupy userów, która była moderatorami na grupach.”

    Tylko? Albo o czymś nie wiedzieli, albo próbowali zmniejszyć zakres wpadki. Każdy mógł edytować dowolne znaleziska. Wystarczyło tylko konto na Wykopie.

    Gdyby ktoś wpadł na pomysł automatycznej edycji większej ilości linków, to zrobiłby się niezły bałagan.

  15. “Jak klikles na edycje”

    No z informatyki to jak widac dzieciaki sa dobre, ale z innych przedmiotow juz niekoniecznie…

  16. Ja tak tylko wtrącę, że kontrola dostępu do danych i do funkcji to bardzo często pięta achillesowa aplikacji internetowych. Dużo poważniejszych niż Wykop. O testowaniu kontroli dostępu pisałem na blogu, dawałem też przykłady na bootcamp. Generalnie jednak widzę, że temat “nie chwyta”, nie budzi takiego zainteresowania jak choćby XSS czy SQLi. A szkoda, bo skutki tego typu podatności mogą być dość mroczne…

  17. @XANi: ale ty to taki pro jestes, pewnie bys napisal lepsza nie

  18. @N
    if ($user->have_rights($post,’edit’) {
    allow();
    } else {
    deny();
    }
    Nie jestem koderem tylko adminem ale napisanie czegoś takiego nie jest zbyt trudne, pewnie ktoś przeoczył tą funkcję przy zmianach w portalu. A napisałem to w taki sposób bo to są dość podstawowe błędy które widywałem w różnych aplikacjach, zwykle pisanych przez niedoświadczonych programistów.

    Po prostu ktoś napisał w części sprawdzającej uprawnienia test “jeśli user jest moderatorem, pozwól mu edytować” a nie “jeśli user jest moderatorem i post jest w jego “obszarze” działalności, pozwól mu go edytować.” czy coś w tym stylu ;]

  19. […] jeszcze zanim dowiedzieliśmy się o najnowszych problemach tego serwisu z bezpieczeństwem (por. Wykop hacked). Teraz jest więc jeden powód więcej, żeby wtopić Wykop […]

  20. […] to niestety niechlubny standard w webaplikacjach — ostatnio w tym temacie pisaliśmy o problemach Wykopu. Programiści z AT&T chyba powinni się wybrać na nasze szkolenie […]

  21. […] gdzie jeszcze dwa dni temu witał go serwer JBossa z loginem admin i hasłem admin (prawie jak na Wykopie) — najprawdopodobniej serwer ten spełnia funkcję C&C […]

  22. […] rezerwacji w międzyczasie się zmienił (np. LOT usunął &admin_mode=TRUE :>), czy chodzi o klasyczny błąd w kontroli dostępu do funkcji, czy może w momencie wykrycia przez Jakuba błędu, zespół programistów pracował “na […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.