XSS-уязвимости на сайте Всемирного экономического форума в Давосе/21.01.2014   
Завтра в швейцарском Давосе соберутся ведущие бизнесмены и политики, чтобы обсудить главные мировые проблемы. К сожалению, это важное событие может быть омрачено неполадками в работе сайта, если организаторы продолжат так же наплевательски относиться к устранению обнаруженных багов.

О наличии нескольких дыр в сайте weforum.org сегодня сообщила компания High-Tech Bridge. Они совершенно случайно наткнулись на XSS-уязвимость в поддомене weforum.org (скриншот).

Более глубокий анализ показал, что схожие XSS имеются и на главном ресурсе Всемирного экономического форума (1, 2).
http://www.xakep.ru/post/61920/forum1.png
http://www.xakep.ru/post/61920/forum2.png



Компания High-Tech Bridge еще на прошлой неделе уведомила админов сайта об уязвимостях, но так и не получила ответа на свои письма. Они начали искать на сайте адреса других контактных лиц, которым можно выслать отчет, нашли форму для отправки сообщения на сайте — но даже в ней обнаружили баг, причем довольно серьезный! В исходном коде HTML-страницы можно заметить параметр cr, значение которого закодировано Base64. Если раскодировать его, то можно увидеть почтовый адрес отправителя. Таким образом, пройдясь по всем идентификаторам (параметр n) мы получаем адреса пользователей сайта. По информации High-Tech Bridge, их может быть более 100 тыс. человек: максимальный идентификатор равен 106515.

Вдобавок ко всему, SSL-сертификат сайта weforum.org недействителен.

«Похоже, безопасники там на лыжах катаются вместо работы», — прокомментировал эту ситуацию журналу «Хакер» генеральный директор High-Tech Bridge Илья Колошенко. Он добавил, что выявленные уязвимости — лишь вершина айсберга, поскольку без согласия владельцев сайта не проводились более тщательные тесты на проникновение.
Источник: http://www.xakep.ru/post/61920/