Kedves Olvasóink!

Ha esetleg nem lenne lehetőségetek eljönni a hétvégi Hacktivity 2008-ra, nem kisebb csemegével szolgálunk, mint Friderikusz online lelki világának sötét bugyrainak elemzésével.

Még 2008. 07. 18-án a www.friderikusz.hu oldal webfejlesztő fenoménjeinek jelentettük, hogy az oldalban több kritikus és közepes mértékű biztonsági problémát is találtunk, amíg nem javítják ki a hibát, nem tudjuk esettanulmányként közzétenni a tapasztaltakat. A legbrutálisabb hibákat javították, arra viszont természetesen már nem futotta, hogy legalább egy egy soros e-mailben megköszönjék. Az első, ami szemet szúrt, hogy az Én mozim aloldalát működtető scipteket tartalmazó könyvtárának tartalma teljesen látható volt az egész világ számára, akár egyszerűen a böngészőn keresztül is. A kevésbé jártas olvasóknak megírom, hogy ez gyakorlatilag annyit jelent, hogy akárkinek, aki valahogyan a webmappába téved, - mert annak a tartalmi listázása nincs tiltva – az ott lévő fájlok, nevezetesen, hogy milyen sciptek is hajtják végre a webhely különböző funkcióit, gyakorlatilag nyitott könyv. [klikk a képre a teljes mérethez]



A honlapon egy űrlapot lehetett kitölteni azzal kapcsolatban, hogy az egykori Friderikusz-műsorba miért is illik bele az olvasó története. Az űrlapadatok kezelését és mentését egy "fenomenális" programozói tudást sejtető emberszabású send.php3 scriptje végezte, ami természetesen szintén látható volt a webhely CGI mappájában. Nálam személy szerint az verte ki a biztosítékot, hogy ez a script amellett, hogy semmilyen script-manipulációra nem volt felkészítve, egy szintén mindenki számára olvasható send.txt fájlba [l. az ábrán] töltötte az olvasók által megadott adatokat az alábbi formában:

Időpont: 2000/11/17 17:56:27
Az Ön neve: Süti Béla
Az Ön lakcíme: 1234
Az Ön mobiltelefonszáma: 1234
Az Ön otthoni telefonszáma: 1234
Az Ön  munkahelyi telefonszáma: 1234
Az Ön e-mail-címe: 1234@1234
A javasolt személy neve: 1324
A javasolt személy lakcíme: 1324
A javasolt személy mobiltelefonszáma: 1324
A javasolt személy otthoni telefonszáma: 1234
A javasolt személy munkahelyi telefonszáma: 1234
A javasolt személy története:
mukszik?
igen!!!

Miért érzi úgy, hogy a javasolt történet illik Friderikusz: az én mozim folytatódik? történetei közé:
grfrfgff fgff f f

Hivatkozhatunk-e Önre, ha megkeressük a javasolt illetőt: on
-----------------------------
Süti Béla az eredeti send.txt-ből származik, de mielőtt még ránk vágnátok, hogy visszaélünk a fellelt személyes adatokkal, feltétlenül meg kell írnom, hogy nem csámcsogtunk a Wordbe töltve összesen 73 A4-es oldalt kitevő (!!) személyes adaton, aminek a végén tragikomédiába hajló poénja az űrlapot záró "Hivatkozhatunk-e Önre…" sor.

Mindenesetre a jóhiszemű olvasó azt gondolná, hogy egy a Friderikusz online-on megadott adatok a legjobb kezekben vannak, azokhoz csak az illetékesek férhetnek hozzá, mert hát mégis "A Fridi oldaláról van szó". Ismét igazolódott az a keserű tapasztalat, hogy a felhasználók megbíznak egy-egy webhely korrekt adatkezelésében és biztonságos voltában, ha ahhoz kellően erős név kötődik.

A többi scriptet átolvasva gyakorlatilag teljes képet lehet kapni az illető aloldal működésével és felépítésével, így biztonsági réseivel kapcsolatban is.

A Friderikusz-stáb bejelentésünket követő hozzáállása után felbátorodtam és megnéztem, hogy mi a helyzet most a Friderikusz online háza táján. A lap, ahogy van az állatorvosi ló esete! Amilyen biztonsági hiba csak előfordulhat benne, azt benne is hagyták. Ugyan a kívülálló számára ez semmiből sem derül ki, az egész oldalt az ingyenes Drupal tartalomkezelő rendszerrel [http://drupal.hu – igen, ez megy www. nélkül is, nem úgy, mint imádott Fridink oldala] pakolták össze, amivel nem lenne semmi probléma, ha nem hagytak volna szinte mindent alapértelmezett beállításon. így nem csak a lapot működtető scriptek pontos felépítése és működése olvasgatható úgy, mintha egy sima szöveges doksit olvasnál a weben, de jól bejósolható ezekből például a használt adatbázis-szerkezet felépítése is.

A www.friderikusz.hu oldalt a 80.99.236.195 fix IP-n a UPC hostolja, míg maga a tartalom a HungaroTel Rt. 80.99.236.195 alá tartozó egyik virtualhostján van. Konkrétan egy kis ízelítő a www.friderikusz.hu lelki világából:

http://80.99.236.195/friderikusz/scripts/

http://80.99.236.195/friderikusz/modules/

http://80.99.236.195/friderikusz/includes/

http://80.99.236.195/friderikusz/themes/

http://80.99.236.195/friderikusz/misc/

http://80.99.236.195/friderikusz/sites/

A dolog ékesen bizonyítja, hogy hiába lehet akármilyen biztonságos egy CMS, amilyen jelen esetben a Drupal, a Friderikuszt megközelítően hülye webprogramozókon (webprogramozók?) az Isten se segít, ha nincsenek beállítva olyan evidens dolgok, mint például az, hogy ezeknek a mappáknak a tartalma kizárólag a fejlesztők számára legyen látható és ne olvasgathassa boldog-boldogtalan.

Ugyan nem szöszmötöltem sokat a webhely elemzésével, nem kellett hozzá sok idő, hogy a jelenlegi állapot milyen weben keresztül végrehajtható visszaélésekre ad lehetőséget. Ezek közül a legkritikusabbak technikai és adatvédelmi szempontból:
-    SQL-befecskendezés
-    XSS-bejuttatás
-    tárolt eljáráskönyvtárak jogosulatlan használata
-    regisztrált felhasználók adatainak, egyéb, authentikációhoz kötött adatok megjelenítése

Egy szó, mint száz, az egész annyira katasztrofális, hogy az összes kihasználható hiba leírásával egy teljes kézikönyvet lehetne megtölteni.

Többé-kevésbé ismert, hogy webmappákban elhelyezett robots.txt file jelzi a különböző webes keresők számára, hogy melyik azok a tartalmak a webhelyen, amiket feljegyezhetnek és gyorsítótárazhatnak és melyek azok, amiket nem. Erre nyilván azért van szükség, mert kényes információk, véletlenül vagy hanyagságból nyilvános helyen hagyott, a lap adminisztrációját szolgáló scriptek, felhasználói neveket és jelszavak tartalmazó fájlok ne legyenek láthatóak a keresők számára. Az, hogy ennek a fájlnak a tartalma látható az internet felől, a legnagyobb jóindulattal is morbidnak nevezhető:

hts-cache

User-agent: *
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /editor/
Disallow: /help/
Disallow: /images/
Disallow: /includes/
Disallow: /language/
Disallow: /mambots/
Disallow: /media/
Disallow: /modules/
Disallow: /templates/
Disallow: /installation/

A nyáron felfedezett, az ábrán illusztrált ominózus tartalmat ZIP-ben csomagolva innen töltheted le, a személyes adatkat tároló fájlt kiszedtem.

Ami az update hülyeséget illeti, legyél akár kezdő, akár profi, ha a saját gépeden szeretnéd off-line felboncolni legirritálóbb médiagecid honlapját, ajánlom figyelmedbe a WinHTTrack Website Copiert, amit a http://www.httrack.com oldalról tölthetsz le.

Ki találja a legmorbidabb biztonsági defektet az oldalon! Indulhat a verseny :- )

Azt sajnos nem tudjuk megmondani, hogy a Fridi-staff mikor óhajt változtatni a hozzáállásán, de már nem is érdekel.