Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu

dodał 22 stycznia 2021 o 13:50 w kategorii Info  z tagami:
Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu

Niestety na froncie walki o wolność słowa w internecie bez zmian – w serwisie Albicla.com identyfikowane są kolejne katastrofalne błędy, a w sieci pojawiła się paczka kodu źródłowego serwisu. Ta historia wydaje się nie mieć końca.

Po naszych ostatnich artykułach na temat Albicla.com otrzymaliśmy wiele nowych informacji na temat podatności w serwisie. Oczywiście była wśród nich znowu metoda odczytywania dowolnego pliku, ale także link do sporej liczby plików kodu źródłowego serwisu. Pliki te wskazują na kolejne liczne błędy czekające na swoich odkrywców.

Nie da się gumą do żucia zakleić dziury w statku

Jeden z naszych czytelników podesłał taki oto link:

https://albicla.com/css/import/albicla/CSS_DIR/..%252f..%252f..%252f..%252fsettings_loc.inc.php

To wariacja na temat poprzednio ujawnionej metody czytania plików serwisu. Jak widać, autorzy serwisu łatają wyłącznie błędy zgłoszone, nie analizując kodu głębiej ani nie korzystając ze sprawdzonych frameworków. Zmiana hasła naprawdę nie wystarcza…

Niestety fakt, że analogiczne błędy dalej występują w serwisie, świadczy o tym, że ich usuwanie w trybie ad-hoc nigdy nie rozwiąże fundamentalnego problemu, jakim jest jakość kodu serwisu.

Oczywiście przesłany link pozwolił na odczyt konfiguracji serwisu, w tym haseł do bazy danych. Przesłaliśmy informację administratorowi serwisu, lecz odpowiedź, którą otrzymaliśmy, zrzuciła nas z krzesła. Oto ona:

Po przejrzeniu kodu nie widzimy możliwości wejść na serwer w ten sposób. Wszystkie funkcje otwierające pliki sprawdzają mime type. Baza użytkowników nie jest wystawiona na świat, więc znajomość hasła do bazy nie pozwoli na podłączenie do niej. Do bazy danych nie da się na szczęście zalogować z zewnątrz, połączenie jest ograniczone tylko do localhostu.

Mam nadzieję, serdecznie pozdrawiając i dziękując za informacje, że już w tym temacie nie będzie zgłoszeń. Dziękuję za bardzo cenne wskazówki i rady.

Co więcej, błąd nie został od razu usunięty – najwyraźniej nie został uznany za istotny (w końcu baza jest na localhoście!). Prawie się poddaliśmy, ale zaapelowaliśmy jeszcze raz i przynajmniej ten błąd został załatany.

To nie koniec, a w zasadzie początek

Od innego informatora otrzymaliśmy link do pliku zawierającego sporą część kodu źródłowego serwisu Albicla.

Pobieżna analiza potwierdziła, że to faktycznie kod tego serwisu. Na przykład linki z tego fragmentu kodu faktycznie działają.

Co mówi kod źródłowy

Niestety według czytelnika, który podesłał nam informacje, kod źródłowy wskazuje na dużą liczbę błędów nadal istniejących w serwisie. Błędy SQLi są nawet w formularzu logowania (co pozwala m. in. na zatwierdzenie konta bez potrzeby odbierania e-maila), a deserializacja danych pozwala na zdalne wykonanie kodu w serwisie. Tych twierdzeń nie byliśmy w stanie samodzielnie zweryfikować, lecz patrząc na całokształt sytuacji, nie mamy powodu nie wierzyć czytelnikowi.

Podsumowanie

To już ostatni tego typu post o tym serwisie, obiecujemy. No, chyba że wydarzy się coś spektakularnego. Czas zająć się ciekawszymi tematami, a też i trochę wstyd kopać leżącego.

Jeśli znajdziecie podatność w tym serwisie, to informujemy, że czytają dość szybko e-maile wysyłane na kontakt (at) albicla.com.