CVE
Shopizer - open source e-commerce software:
- CVE-2021-33561 Stored XSS v administraci - neošetřené jméno zákazníka
- CVE-2021-33562 Reflected XSS - 'ref' parametr
Responsible disclosure
V tabulce níže jsou již opravené zranitelnosti, které byly nalezeny ve volném čase a nahlášeny v rámci bugbounty nebo vulnerability disclosure programu - nejedná se tedy o pracovně nalezené chyby.
| WWW | Společnost | Zranitelnost | Detaily | ||
|---|---|---|---|---|---|
| Alza.cz | Alza.cz a.s. | Email Disclosure | Získání emailových adres přes order tracking | ||
| Att.com | AT&T Inc. | CORS Misconfiguration | Krádež uživatelských dat přes JS exploit | ||
|
05/2020
|
|||||
| Damejidlo.cz | Damejidlo.cz s.r.o. | Account Takeover (XSS), Open Redirect | Reflected XSS v parametru GPS | ||
|
07/2020
Zranitelné parametry "lat" a "lng" v nové verzi DameJidlo (img)
|
|||||
| Dpp.cz | Dopravní podnik hl. m. Prahy | XSS | Reflected XSS, Stored XSS | ||
| Eshop-rychle.cz | Golemos s.r.o. | Administration Takeover (XSS), Session Fixation |
Několik výskytů Stored XSS | ||
| Foodpanda.com | Delivery Hero SE | Account Takeover (XSS) | Reflected XSS v parametru GPS souřadnic | ||
|
07/2020
Zranitelné všechny weby pod foodpanda.com, foodora.com
Rozvozce jídla v 16 zemích (např. Švédsko, Norsko, Finsko, Bulharsko, Thajsko, Singapur...)
|
|||||
| Idos.idnes.cz | MAFRA a.s. | XSS | Několik výskytů Reflected XSS | ||
|
02/2023
Reflected XSS (5x) v různých částí webové aplikace
Reflected XSS (1x) v mobilní verzi webových stránek
Zranitelná byla i slovenská verze: cp.hnonline.sk
|
|||||
| Ifortuna.cz | Fortuna Entertainment Group | Session Hijacking (XSS), Open Redirect | Několik výskytů Reflected XSS | ||
|
07/2020
Reflected XSS (6x) v různých částí webové aplikace vedoucí ke krádeži sessionID
Open Redirect bez uživatelské interakce
Zranitelné všechny jazykové varianty: ifortuna.cz, ifortuna.sk, efortuna.pl, efortuna.ro
|
|||||
| Intersport.cz | Intersport ČR s.r.o. | Price manipulation (Parameter Tampering) | Změna celkové částky za objednávku | ||
|
09/2018
Změna celkové částky za objednávku v procesu platby, včetně úspěšného doručení
|
|||||
| Knihydobrovsky.cz | Knihy Dobrovský s.r.o. | Price manipulation (Parameter Tampering) | Změna celkové částky za objednávku | ||
|
09/2018
Změna celkové částky za objednávku v procesu platby, včetně úspěšného doručení
|
|||||
| Kosik.cz | Košík.cz s.r.o. | Session Hijacking (XSS), IDOR | Reflected XSS, Stored XSS | ||
|
08/2020
Uložení Stored XSS do doručovací adresy všem uživatelům
Skript se spouštel v zákaznické části a v košíku (potvrzení adresy) => blokace dokončení objednávky všem uživatelům
|
|||||
| Kupi.cz | Kupi.cz retail, s.r.o. | XSS | Reflected XSS, Stored XSS | ||
|
10/2020
|
|||||
| Mall.cz | Allegro Group CZ s.r.o. | Account Takeover (XSS) | XSS Angular Template → Account Takeover | ||
|
10/2019
|
|||||
| Patro.cz | NWT a.s. | Price manipulation (Parameter Tampering) | Změna celkové částky za objednávku | ||
|
09/2018
Změna celkové částky za objednávku v procesu platby, včetně úspěšného doručení
|
|||||
| Rohlik.cz | Velká Pecka s.r.o. | Session Hijacking (XSS), CSRF, Session Fixation, Broken Access Control, Business Logic, Open Redirect | Reportování několika zranitelností | ||
|
04/2020
Stored XSS - k exekuci kódu docházelo na 2 místech
CSRF - vložení XSS do účtu
Session Hijacking (XSS + HttpOnly)
Business Logic - zdarma objednávky v hodnotě 100 kč
Acknowledgement
|
|||||
| Rohlikbistro.cz | Velká Pecka s.r.o. | Broken Access Control | Přístup k citlivým informacím přes API | ||
|
06/2020
Přístup k citlivým informacím přes API(P1)
Více informací o projektu: https://www.cleevio.com/rohlik-bistro
|
|||||
| Seznam.cz | Seznam.cz a.s | Email Persistent Access (Session Hijacking), XSS | XSS → Session Hijacking → Persistent Access | ||
| Shopify.com | Shopify Inc. | Email Spoofing | Bypass SPF, DKIM, DMARC záznamů | ||
|
09/2020
|
|||||
| Shoptet.cz | Shoptet a.s. | Administration Takeover (XSS), Session Fixation |
Několik výskytů Stored XSS | ||
| Slack | Slack Technologies, Inc. | URL Spoofing | Podvržený odkaz v konverzaci | ||
|
03/2020
|
|||||
| Slevomat.cz | Slevomat.cz s.r.o. | XSS | Stored XSS | ||
|
07/2020
Neošetřené jméno uživatele ve flash-message po přihlášení (img)
(Opraveno za 20 minut od nahlášení👍 )
|
|||||
| Tipsport.cz | Tipsport a. s. | Account Takeover | Session Hijacking → Account Takeover | ||
|
07/2020
Zranitelnost také na Chance.cz, Tipsport.sk
|
|||||
| Webareal.cz | Bohemiasoft s.r.o. | Administration Takeover (XSS) | Reflected XSS, Stored XSS | ||
| Upgates.cz | EVici webdesign s.r.o. | Administration Takeover (XSS), Local File Inclusion, Email Spoofing, SSRF, Session Fixation | Nahlášeno několik zranitelností | ||
Berte prosím na vědomí, že každá komplexnější webová aplikace má menší nebo větší bezpečnostní chybu.
Pokud je společnost upozorněna na nějakou zranitelnost, začne si důležitost bezpečnosti více uvědomovat a bude podnikat kroky k předcházení podobných chyb. Společnosti uvedené v tabulce neznamenají, že jsou zranitelné a nebezpečné k používání, ale spíše naopak. Věřím, že po oznamení zranitelností si již na bezpečnost dávají větší pozor a chybám podobného typu se snaží vyvarovat.
Při hledání a nahlašování zranitelností se řídím pravidly bug bounty programu, vulnerability disclosure programu nebo “etickým kodexem”, obvykle se jedná o tyto pravidla:
- Není používán útok hrubou silou (brute-force attack)
- Nejsou prováděny útoky skrze sociální inženýrství, phishing, man-in-the-middle nebo útoky vyžadující fyzický přístup
- Nedochází k zatěžování systémů vedoucí k přerušení nebo zhoršení služeb
- Nejsou pouštěny automatizované nástroje/scannery, které generují velké množství trafficu
- Zranitelnosti nejsou zneužívány na ostatních uživatelích
- Ke kontaktování společnosti dojde, pokud je nalezena reálně exploitovatelná zranitelnost s rizikem medium nebo vyšší (kromě bug bounty programu)
- Zranitelnosti jsou zaslány na email uvedený v souboru security.txt
- V případě neexistujícího souboru je zaslán informační email na zákaznickou podporu s žádosti o kompetentní email nebo přeposlání zprávy. Pokud nedojde k odpovědi do 3 pracovních dnů jsou nálezy zaslány CEO nebo CTO
- Pokud není k dispozici PGP klíč a je nalezena kritická zranitelnost, dojde nejdříve k dohodě jakým způsobem bude soubor zašifrován
- V případě, že kontaktuji společnost s nalezenou zranitelností a neexistuje bug bounty program, tak nepožaduji finanční nebo jinou odměnu (pokud mě chcete odměnit, je to vždy na dobrovolné bázi)
- Po opravě dochází z mé strany k přetestování (prosím o upozornění pokud dojde k opravě)
- V emailové komunikaci, související s nahlášením, nenabízím zpoplatněné služby
- V tabulce jsou pouze zranitelnosti nalezené ve svém volném čase a mimo pracovní poměr