Небольшой пен-тестинг данного портала дневников http://www.liveinternet.ru/

Что, портал прямо таки весь дырявый к пассивным уязвимостям.

Нашёл кучу XSS уязвимостей (перехват коденфициальных данных).

Уязвимые браузеры: Internet Explorer 6.0, 7.0

Ранние браузеры Opera.

нет примитивной защиты от автоформ, не проверяеться реферер и нет вшитой сессии в формы редактирования персональных настроек.

Таким образом можно сделать запрос к примеру на удаление дневника.

Атакуемый пользователь заходит на сайт а  на нём скрытый фрэйм на автоформу удаления дневника.

Таким образом можн овыполнять любые действия от имени хозяина дневника, при условии что он авторизирован на LI

Соотвественно раз юзаються допустимые скрипты - для создания автоформы => уязвимы абсолютно все браузеры))

P.S.:

а на закуску history взлома одного портальчика:

Ну собственно сподвигло написать историю\статью, недавний взлом портала http://nightparty.ru/
где зарегестрированно 48 000 пользовтаелей со всей России.
Типичный портал с дневниками.

Как я попал на него, да просто, какой то чел постучался в асю, представился мол помоги найти ХСС в портальчике.
Сам чел оказалася завсегдатым античатовцем и увидев мои посты решил что я проф в ХСС, попросил о помощи.
Ну я в течении часа нашёл порядка 5 пассивных хсс, дал ему.
Он попросил сделат ьперехват кукисов, я закодировал скрипт, но портал обрывал запросы.
т.е. перменные проверялись на опред колич символов.
Тогда я начал искать активную XSS, казалась бы на таком портале активная XSS да не реально.
Искал, искал..зашёл на форум, ввёл в поиске тем alert
мне вывелось ряд тем.
с выделенным содержанием [link]javascript:alert()[/link]
зайдя в темы сразу всё понял.
чуваки нашли пассивную хсс <a href=javascript:alert()>javascript:alert()</a>
ну я подуммал а может и крати нки добалвять можно вскоре подобрал BB коды.
[img*]http://qwe.ru/1.jpg[/img*]
мне вывелся крестик.
ураааа
далее попробовал [img*]javascript:alert()[/img*] и о чудо и тут нет фильтрации вышел алерт.
я делаю скрипт передачи кукисов и кидаю его в некоторые темы.
супустя час обнаруживаю на логе 75 кукисов.
Пытаюсь подставить понимаю, что кукисы привязаны по айпи.
Дальше мучу феик (ложную страницу авторизации)
с надписью "Время жизни сессии истекло пожалуйста авторизируйтесь и поля логина и пароля.
Которые отправлялись мне на лог и перенаправлялось на гл . стр. портала.
Таким образом создал псевдо-дефейсы с феиком. попастил ими во всех темах форума.
и пошёл спать.
на след день после учёбы захожу на лог а там порядка 30 учёток, логинов и паролей.
ну я начал по порядку авторизироватьсян а форуме пробывать их.
и о чудо учтёка модера.
появилась рядом с профилем ссылка админка.
в админке привелегии на очистку хэша, и ещё чёто несущественное.
урл выглядел так: admin/?page=main
тогда я предположил, что эт окомманда page это локлаьный инклюдинг (локальное присоединение файлов)
и начал подюбирать.
admin/?page=users и опсссс мне выпала страница со всеми модерами с колонкой изменить привелегии каждому модеру.
Как в последствии оказалось.
Переменная page присоединяла файлы из админки, а все файлы - модули были без проверки на статус пользователя.
т.е. введя в page существующий файл он полностью присоединялся и допускались все его функции.
так я быстро наподбирал
amnin/?page=forum
admin/?page=persons
и около ещё дестяка различных модерских и админских модулей.
Откуда я узнал что подключаемые модули админские да очень просто.
Я зашёл опять таки в admin/?page=users
и среди модеров нашёл свой аккуант, зашёл в изменить привелегии и выставил полные привелегии модерские...к редактированию всех разделов портала (кроме новостей и форума).
там я прсомотрел хтмл и выяснил какие значения page для модеравторов, соответственн овсе дургие были уже не модераторские - админские.
к пример ?page=forum я мог редактировать форум
?page=persons я мог редактировать VIP-дневники всяких личностей типа Фоменко, DJ Грув, Анфисы Чеховой и т.д.
короче получил доступ к добалвению фильмов, фотограций, статей, флаэров, опросов, и кучу кучу всяких других модулей.
Вот захотелось получить дсотуп к новостям, я быстро подобрал ?page=kolonka
к редактированию новостей..но тут ждал меня облом..тут проверялся статус на наличие админских прав к этому модулю.
Вообщем дальше я мог хакнуть админа, сделать это довольно просто, замутить перехват пароля,
когда добавляешь новые фильмы, фотографии на портале заголовок добавляемого сохр на гл. стр.
конечно не какой фильтарции в админких модулях нет, поэтому
мог спокойно сделать автоформу на перехват логина и пароля.
ноооо этого уже делать не стал так как предчувтсвие было не оч хорошее.
Я выходил за рамки пен-тестинга.
....
Вообщем связалася с админом по аське показал, расскзаал всё, лдальше он предложил пообщаться через скайп.
По микрофону пообщались с ним, он поинтересовался про хакеров, про нашщу комманду, почему такой интерес и т.д., сам оказался большим пхп кодером с оч большим опытом.
ПРосто видите ли ему было лень делать защиту на модерку, так как видите ли он был уверен на 100% в модерах, чт освои люди.
И очень был удивлён что в феик(ложную форму авторизации) попался модер)))
Как видим такая политика приводит к хаку.
Обещал отпостить благодарность нашей комманде, однако до сех пор не чего не повесил, наверное для такого портала, вешать такую благодарность слишком дорого своей репутации.
Конечно признавать свою дырявость не кому не хочеться)

Вообщем а история эта к тому, что портальные движки очень сложны по конструкции и в 80% они самапальные.
А это даёт нам шанс для тестинга.
Взять любой ресрус дневников и тщательно ег опротетсить, в начале на хсс хотябы, и можно уйму всего найти.
А мораль сей истории такова: главное желание и время и усердие,
результат точно будет, главное не чуть не сомневаться и точно в это верить!

Да, меня хотели пробить по поинтам провайдера и узнать адрес через КиберПолицию, но увидев Эстонский айпи не стали заморачиваться, хотя айпи был Питерский мне  просто повезло, так как видн оайпи юзеров сохранялся один раз при регистрации, а модер был из Эстонии.

Админ рассказал про МОсковского хакера, которому не оч повезло и к нему приехали домой, хотя он ванадл удалил почти всю базу портала, кстати с ним ещё поговорили, он всё понял и всё восстановил))

Вообщем админы спец вам, защищайтесь от "плохих хакеров" (blackhats) которые могут использовать полученный доступ или коденфициальные данные в своих корыстных целях!

Используйте хотябы стандартную защиту своих ресурсов от пассивных атак.