Google hack na home.pl

Swego czasu redaktorzy portalu hack.pl znaleźli lukę polegającą na tym, że metodą http brute force można było dostać się do stron statystyk serwisów korzystających z serwerów home.pl Zrobiła się z tego niemała awantura. Nawet była sprawa w prokuraturze bo włamali się przy jej pomocy na stronkę MEN. Tutaj jest opis całej historii wraz z sposobem wykorzystania luki: krytyczna luka w home.pl

Obserwowałem te relacje uważnie zwłaszcza, że wtedy miałem konto na home.pl. “Zabezpieczenie” luki przez home.pl jest żenujące. Zmienili adresy z statsXXX na statsMD5. Najprawdopodobniej niby losowy ciąg jest sumą MD5 z jakiś danych użytkownika i być może poprzedniego xxx (z czego nie udało mi się jeszcze ustalić, ale może
jest to do ustalenia). Czyli na przykład statsff7d26270065e8a3c0d3e2a11face882.
Ale problem jak takie urle znaleźć. Sposób jest banalny. Wyszukiwarka Google indeksuje strony internetowe nie tylko na podstawie linków z internetu i ręcznych zgłoszeń do zaindeksowania, ale także na podstawie zapytań z Google Toolbar. Tak też stało się w przypadku wielu stron z logami na serwerach home.pl. Wystarczy zapytanie do wyszukiwarki:
http://www.google.pl/search?q=intitle%3A%22Statystyki+ogl%C4%85dalno%C5%9Bci%22+inurl%3Ahome.pl&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a
Skuteczne jest też zapytanie inurl:home.pl/stats*

W ten sposób uzyskujemy adresy wielu stron z logami. Co zabawniejsze na wielu stronach ujrzymy bezpośrednie linki do plików z logami:

Ogólnodostępna strona statystyk konta na home.pl

Śmieszne, że home.pl twierdzi, że udostępnia swoim klientom możliwość zabezpieczenia tych logów. Polega ona na tym, że znikają linki ze strony głównej statystyk, ale po wpisaniu odpowiedniego adresu pliku z logiem on tam jest. To stwarza taką sytuację, że nieświadomy klient home.pl myśli, że jego logi są dobrze zabezpieczone i może używać na przykład przesyłania hasła przez GET.

Jest to klasyczny “google hack” tym razem w wydaniu dla polskiego Internetu :) Oczywiście uzyskanie logów nie wystarczy. Trzeba jeszcze znaleźć stronę, w przypadku której pomoże to we włamaniu. Najprostszymi przykładami może być katalog administratora ukryty w ten sposób, że “nikt nie zna jego nazwy” albo strona logowania z hasłem w jakiejś formie przesyłanym metodą GET.

Zgłosiłem sprawę home.pl, uzyskałem nawet stosowne podziękowanie (już jakiś czas temu). Niemniej jednak jak widać nie kwapią się do zabezpieczenia tego. Pewnie twierdzą, że powyżej opisane przeze mnie “zabezpieczenie” na żądanie klienta jest wystarczające. Prostym sposobem byłoby założenie na przykład BA na taki katalog. Jeśli nie chcą ograniczać do niego dostępu przy pomocy hasła mogliby chociaż zabronić wyszukiwarkom jego indeksowania poprzez wpis w robots.txt albo tagu <meta name=”robots” .

Zacheusz Siedlecki

Komentarze

3 komentarzy do “Google hack na home.pl”

  1. Zacheusz on September 13th, 2008 7:54 pm

    Link w Google już jest nieaktualny a luki już nie ma. Napisałem do nich maila i (po długim czasie) naprawili.

  2. misiek on June 10th, 2010 9:28 pm

    fajne. w ogole google zmienia zasady gry. notka tylko ze robots.txt czy meta robots niekoniecznie jest respektowany przez wyszukiwarki. taka byla idea praktyka juz niekoniecznie.

  3. Zacheusz Siedlecki on June 11th, 2010 9:56 am

    @misiek: możesz podać namiary na jakieś testy to udowadniające?
    Kiedyś były testy z których wynikło, że G respektuje (jakieś Japończyki nie respektowały).

Chcesz coś napisać?





*