Місяць багів в Пошукових Системах: підсумки

Завершився проект websecurity.org.ua  Місяць багів в Пошукових Системах

В проекті прийняли участь 33 пошукові системи (30 веб пошуковців та 3 локальних пошуковця) 19 вендорів, деякі вендори володіють декількома пошуковцями. Перелік учасників проекту (в порядку появи): Meta, Yahoo, HotBot, Gigablast, MSN, Clusty, Yandex, Yandex.Server (локальний пошуковець), Search Europe, Rambler, Ask.com, Ezilon, AltaVista, AltaVista local (локальний пошуковець), MetaCrawler, Mamma, Google, Google Custom Search Engine (локальний пошуковець), My Way, Lycos, Aport, Netscape Search, WebCrawler, Dogpile, AOL Search, My Search, My Web Search, LookSmart, DMOZ (Open Directory Project), InfoSpace, Euroseek, Kelkoo, Excite.

Всього оприлюднено 104 уразливостей в зазначених пошуковцях. Включаючи Cross-Site Scripting (як XSS, так і HTML Injection), Full path disclosure, Content Spoofing та Information disclosure уразливості. Це без врахування редиректорів в пошукових системах (всього було опубліковано 23 редиректори).

Результати проекту: виправлено 44 уразливостей з 104 (без врахування редиректорів). Це 42,31% виправлених уразливостей. Власникам пошукових систем є ще куди покращувати безпеку своїх пошуковців.

Зазначу, що з усіх вендорів пошукових систем лише двоє подякували мені (з 19 вендорів 33 пошукових систем), за витрачений на них час, за пошук уразливостей в їх системах та допомогу в підвищенні безпеки їх пошуковців (це Rambler та Ezilon). А всі інші власники пошукових систем навіть не подумали (полінилися) це зробити. Що дуже не етично з їх сторони і над своєю етикою та культурою їм ще варто попрацювати.

Як я писав в описі проекту, я вирішив визначити переможців Місяця багів в Пошукових Системах в двох номінаціях. Під час проведення проекту кожен відвідувач сайту міг проголосувати за вподобаний баг залишивши коментар у відповідному записі. Сьогодні я підрахував голоси відвідувачів і оголошую переможців.

Результати голосування:

Best bug of MOSEB MustLive Choice

• MOSEB-05: Vulnerability at shopping.msn.com

Також зверніть увагу на MOSEB-05 Bonus: Vulnerabilities at autos.msn.com, на обох цих проектах MSN уразливості базується на техніці Expressive comments space-hack filters bypass technique.

Best bug of MOSEB Visitors Choice

• MOSEB-20 Bonus: Google dorks strikes back

Цікава уразливість, до того ж це найбільш небезпечний баг MOSEB.

Список TOP5 багів MOSEB (відповідно до вибору відвідувачів):

1. MOSEB-20 Bonus: Google dorks strikes back
2. MOSEB-06: Vulnerabilities at clusty.com
3. MOSEB-05: Vulnerability at shopping.msn.com
4. MOSEB-15: Vulnerabilities at images.google.com
5. MOSEB-10: Vulnerabilities at www.ask.com

Поздоровляю переможців Microsoft та Google! Уразливості в своїх пошуковцях ви робите найкращі . Іншим розробникам пошукових систем треба ще вчитися у вас. Але усім вендорам треба ще працювати над покращенням безпеки своїх пошуковців.

Спасибі, що слідкували за проектом MOSEB. Усього найкращого. І приділяйте увагу своїй безпеці.

P.S.

Доречі, перед проведенням даного проекту (MOSEB), я проводив ще один цікавий проект по оприлюдненню уразливостей на важливих сайтах. В січні я проводив президентську фієсту - публікував дірки на сайтах президентів (звісно я сповістив адміністрацію цих сайтів про уразливості).

• Уразливість на сайті Президента України
• Уразливість на сайті Президента Росії
• Уразливість на сайті Президента США
• Уразливість на сайті Президента Білорусії
• Уразливість на сайті Президента Словакії