В данной статье я хочу рассказать о найденной уязвимости в рейтинговой системе RAX.ru. Данная статья предназначена для админов RAX.ru ;-), для админов других систем и вообще для всех людей интересующихся сетевой безопасностью. В этой статье (а даже можно сказать заметке) я не хочу лить много воды и употреблять много пустых слов, а хочу сразу перейти к делу.
Мною было замечено, что все счетчики этой системы (www.rax.ru) используют ОДИНАКОВЫЙ код (ну почти одинаковый, за исключением параметра отвечающего за тип счетчика - его цвет и т.д.). Под одинаковым кодом я понимаю, что в отличие от других систем (SpyLog, HotLog и т.д.) в коде счетчика системы RAX не передается ID (идентификатор) счетчика или учетной записи. Логином для входа в систему является адрес сайта на котором будет стоять счетчик (для своего исследования я зарегистрировал счетчик для сайта xforum.pp.ru). Спецификой вычисляемой статистки со счетчиков является то, что они засчитывают загрузки счетчиков имеющихся в их базе. То есть если у вас есть сайт www.web-hack.ru (допустим на него зарегистрирован счетчик) и у этого сайта есть зеркало по адресу www.web-hack.com , то все загрузки с сайта-зеркала не будут засчитаны. Для таких целей в аккаунте участников рейтинга (меню "изменение описания") есть специальное поля ввода "Синонимы" в которое и вводятся зеркала основного сайта. "А что если ввести в это поле сайты из рейтинга (на всех сайтах ведь одинаковый код счетчика)?" - подумал я =) Не долго думая, я ввел первый попавшийся мне сайт (для примера назовем сайт - lamer.ru), и … Меня ждал облом, так как система просто удалила его. Но еще подумав я зашел на подопытный сайт и найдя на нем существующую директорию (на веб-сервере) из которой тоже грузились страницы со счетчиков (к примеру - lamer.ru/test/) я ввел ее в наше поле "Синонимы". На этом этапе меня и ждал успех, так как
система не удалила этот путь и адрес lamer.ru/test/ стал зеркалом моего сайта, несмотря на то что в рейтинге участвовал уже сайт в домене lamer.ru.
К сожалению значение поля ввода было maxlength=250 (возможно скрипт и не обрезал эти 250 символов, если к нему обратиться с вручную
состряпанной формой, я просто не проверял) и я мог вбить адресов только на 250 символов. И это уже не плохо =) Я быстро пробежался по рейтингу, выбрал самые посещаемые сайты, нашел директории с хорошо посещаемыми страницами и вбил их в поле "Синонимы". Спустя 19 часов мой сайт был в верхушки топа "Компьютеры".
А еще через час офигевшие админы (количество хостов в тот момент было 43000, а хитов больше 520000) удалили меня из ЛИСТИНГА рейтинга, то есть не удалили мой аккаунт (он до сих пор жив), а просто запретили моему сайту отображаться в рейтинге сайтов (хочу заметить, что в моем списке сайтов стаял и путь rax.ru/rating/). Если бы я не барзел с количеством сайтов в моем списке синонимов (и не написал бы эту статью :-), то таким образом можно было хорошо поднимать себя в рейтинге и понтоваться перед друзьями (ведь мой сайт был выше известного NoNaMe). Но к сожалению
с этим случаем я усвоил еще одну вещь: даже если ваш сайт почти в верхушке популярного топа (а у меня был вполне популярный топ - Компьютеры) на него все равно будет заходить мало народу из рейтинга (используя статистику я посмотрел что на сайт стало заходить всего на 5-7 человек больше, чем обычно из этого рейтинга).
С помощью этой оплошности админов можно было получить и еще одну полезную вещь кроме накрутки счетчика, а именно получать интересные данные с сайтов, доступ к статистике которой закрыт из их аккаунтов (например в рейтинге были порно сайты) 😉
Пользуясь случаем хочу заметить еще об одной оплошности этой системы. Главный адрес сайта по которому регистрируется счетчик нельзя изменить через веб-интерфейс, а нужно писать письмо суппортам на адрес counter@rax.ru в котором указывается старый адрес сайта и новый. Кроме этих двух строчек суппорты не требуют НИЧЕГО (я лично проверял, причем делал заявку от иного мыла указанного при регистрации). Они даже пароля не спрашивают от аккаунта. Надеюсь эта статья даст им много информации для размещения в плане безопасности работы сервиса.
На этом я хочу закончить данную статью. Если у кого то возникли вопросы, то вы можете их задавать в этой
теме. Также я рекомендую вам по чаще посещать мой форум по сетевой безопасности
http://forum.web-hack.ru.
