בנוסף, הסתכלתי על דו"ח חדירות שנעשו לאתרים.
הממצאים שעלו עבור אתר עולים על מדים:
| https://www.aka.idf.il/main/giyus/ | session מיושם בצורה לא מאובטחת |
| https://www.aka.idf.il/main/giyus/ | שימוש ב- SSL לא מאובטח |
| https://www.aka.idf.il/main/giyus/ | ניהול ה- Cookies במערכת לקוי |
| https://www.aka.idf.il/main/giyus/ | Clickjacking |
| https://www.aka.idf.il/main/giyus/ | שירותים לא מוקשחים חושפים מידע פנימי אודות המערכת |
כאשר הממצא הראשון - שהיה בעדיפות גבוהה. תוקן. כל שאר הדברים הינם דברים תשתיתיים יותר, שלטעמי גם הם תוקנו.
אתר "עולים על מדים" עצמו קיים כבר כמה שנים. התיקון שהכנסנו הינו קטן, והוא אינו השפיע על הממצאים שתוארו.
לכן, אשמח לדעת מדוע עלו ממצאים נוספים - מעבר למה שכבר עלה בדוח הקודם.
תודה
נשלח: יום ראשון 04 ספטמבר 2016 16:21
אל: Shirin Moshel; Zvika Zaharia
נושא: RE: סקר קוד עולים על מדים
היי שירין,
ראשית:
הקוד של "Mitgaysim" הועבר אליך.
הוא נמצא בשרת ה-FTP תחת התיקייה Version04.09.2016.
העברתי גם את הקוד וגם את האתר עצמו.
נעשו אך ורק 3 שינויים קטנים.
אעביר לך מסמך גרסה מסודר בהמשך היום.
לגבי עולים על מדים, להלן התייחסותי לגבי כל סעיף:
Reflected XSS - לא הבנתי כל כל מה נדרש לתקן
לא
Data Filter Injection - בדיקות הקלט נעשות קצת לפני (האם הקלט הוא ריק). הקלט היחיד שנכנס הוא ספרות (תעודת זהות של משתמש) וגם בדיקה כזאת נעשית
נשלח: יום ראשון 04 ספטמבר 2016 13:06
אל: bar.gal; Zvika Zaharia
נושא: RE: סקר קוד עולים על מדים
עיקר הממצאים מבחינתנו שדורשים התייחסות הינם:
1. Reflected XSS
מצ"ב תמונה עם סימון בצהוב על המיקומים בהם ניתן לטפל בממצא זה באופן רוחבי
יש צורך לבצע בדיקות קלט ולאפשר אך ורק את התווים הנדרשים באמצעות ביטוי רגולרי, כמו אן לבצע Html Encoding לתוכן החוזר למשתמש ולא לבצע סינון ידני כמו בדוגמה הבאה הקיימת בקוד:
2. Data Filter Injection
חסר בדיקות קלט והנתון ישר נכנס
3. Heuristic_SQL_Injection
בדומה לממצא קודם: חסר בדיקות קלט והנתון ישר נכנס
4. Heuristic_Stored_XSS
שליפת מידע והצגתו בתגיות HTML ללא קידוד הפלט, יש לבצע Html Encoding
5. Information_Exposure_Through_an_Error_Message
חשיפת שגיאות למשתמש – אין לחשוף שגיאות למשתמש אלא לרשום ללוג ולחשוף למשתמש שגיאה כללית המוגדרת מראש
6. Client_Use_Of_JQuery_Outdated_Version Version
שימוש בספריית JQUERY ישנה – יש לעדכן לגרסת JQUERY חדשה
7. Client_Potential_ReDoS
נמצא כי קיים שימוש בביטוי רגולרי אשר יכול לגרום למניעת שירות בצד המשתמש עקב כך שקלט זדוני יגרום לבדיקה אינסופית
בברכה,
|
|
|
|
From: bar.gal [mailto:bar.gal@mail.gov.il]
Sent: Sunday, September 04, 2016 1:01 PM
To: Zvika Zaharia <zzvika@gmail.com>; Shirin Moshel <shirin@gov.il>
Subject: RE:
סקר קוד עולים על מדים
היי שירין...
חוץ מסעיף 6 (החלפת jquery)
שאותו נתקן, לא הבנתי מדוע שאר הדברים נדרשים. לא נחשף שום מידע למשתמש, ובכל שגיאה פנימית באתר מוצגת למשתמש הודעת שגיאה אישית (ללא הצגת השגיאה בצד השרת)
לא כל כך הבנתי מה נדרש... מה בחומרה גבוהה ומה לא.
האם אפשר להעלות גרסה לאתר אחרי התיקון של סעיף 6? מתי הכי מוקדם שניתן לעשות זאת?
מאת:
bar.gal
נשלח: יום ראשון 04 ספטמבר 2016 12:06:23
אל: Zvika Zaharia
נושא: Fw: סקר קוד עולים על מדים
מאת:
Shirin Moshel <shirin@gov.il>
נשלח: יום רביעי 31 אוגוסט 2016 15:41:23
אל: bar.gal
נושא: FW: סקר קוד עולים על מדים
היי בר גל,
להלן תוצאות בדיקת סקר קוד שנערכה.
אנא התייחסותך לממצאים ותיקונם בהתאם
From: Yogev Mizrahi
Sent: Wednesday, August 31, 2016 3:32 PM
To: Shirin Moshel <shirin@gov.il>
Cc: #AppSec <AppSec@gov.il>
Subject:
סקר קוד עולים על מדים
היי שירין,
מצ"ב דוח של מערכת CHECKMARX
צריך לעבור עליו לבחון מול האפליקציה מה רלוונטי וניתן לטפל.
עיקר הממצאים מבחינתנו שדורשים התייחסות הינם:
1. Reflected XSS
מצ"ב תמונה עם סימון בצהוב על המיקומים בהם ניתן לטפל בממצא זה באופן רוחבי
יש צורך לבצע בדיקות קלט ולאפשר אך ורק את התווים הנדרשים באמצעות ביטוי רגולרי, כמו אן לבצע Html Encoding לתוכן החוזר למשתמש ולא לבצע סינון ידני כמו בדוגמה הבאה הקיימת בקוד:
2. Data Filter Injection
חסר בדיקות קלט והנתון ישר נכנס
3. Heuristic_SQL_Injection
בדומה לממצא קודם: חסר בדיקות קלט והנתון ישר נכנס
4. Heuristic_Stored_XSS
שליפת מידע והצגתו בתגיות HTML ללא קידוד הפלט, יש לבצע Html Encoding
5. Information_Exposure_Through_an_Error_Message
חשיפת שגיאות למשתמש – אין לחשוף שגיאות למשתמש אלא לרשום ללוג ולחשוף למשתמש שגיאה כללית המוגדרת מראש
6. Client_Use_Of_JQuery_Outdated_Version Version
שימוש בספריית JQUERY ישנה – יש לעדכן לגרסת JQUERY חדשה
7. Client_Potential_ReDoS
נמצא כי קיים שימוש בביטוי רגולרי אשר יכול לגרום למניעת שירות בצד המשתמש עקב כך שקלט זדוני יגרום לבדיקה אינסופית
בברכה,
יוגב
|
|
|
|
|||||||||||
|
|
|||||||||||||
|
|
|||||||||||||
תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות
תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות
תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות