Closed
Bug 847258
Opened 12 years ago
Closed 12 years ago
Error 500 on Webmaker.m.o
Categories
(Webmaker Graveyard :: General, defect)
Webmaker Graveyard
General
Tracking
(Not tracked)
RESOLVED
FIXED
People
(Reporter: curtisk, Assigned: boozeniges)
Details
(Keywords: reporter-external)
Date: Sun, 3 Mar 2013 02:22:40 +0500
Subject: Internal Server Error vulnerability
From: Noman Ramzan <nomanramzan91@gmail.com>
To: security@mozilla.org
-----//-----
Internal Server Error
Url https://webmaker.org/en-US/events/search/?location=ns../../../../../../../../../../etc/passwd/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././
Parameter Name location
Parameter Type Querystring
Attack Pattern ns../../../../../../../../../../etc/passwd/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././
Vulnerability Details
The Server responded with an HTTP status 500. This indicates that there is a server-side error. Reasons may vary. The behavior should be analysed carefully.
Impact
The impact may vary depending on the condition. Generally this indicates poor coding practices, not enough error checking, sanitization and whitelisting. However there might be a bigger issue such as SQL Injection.
Remedy
Analyse this issue and review the application code in order to handle unexpected errors, this should be a generic practice which does not disclose further information upon an error. All errors should be handled server side only.
--
--
Warm REGARDS :
Noman Ramzan
A Web-Developer,blogger,SEO Expert, Ethical hacking Experts,Security Researcher And Penetration Tester
|
||
Comment 1•12 years ago
|
||
This is reproducible. At first glance it is the length of the parameter, not the parameters contents which is causing the error. (the same error occurs with any long string, so file-inclusion etc is less likely). Need further information from someone from webmaker to get much further.
Flags: needinfo?(ross)
|
Assignee | |
Comment 2•12 years ago
|
||
What further info would be helpful?
Looks like we need to do a bit of length checking on the location field to stop causing the 500's but the page that's erroring is just performing a GET request to list countries so hopefully it's unable to do much worse.
What error code should we throw in this case - or should we just set a max length on the allowed string?
Flags: needinfo?(ross)
|
Reporter | |
Updated•12 years ago
|
Flags: needinfo?(ptheriault)
|
|
||
Comment 3•12 years ago
|
||
Ross, I was mainly just giving this as a heads up, but I have since found out that this is unnecessary due to the web triage process. Throwing a 500 isn't an issue in itself, but it sometimes a red flag to people trying to exploit things. I am not too concerned about the error in this case, but it might be worth trying to figure out exactly what is causing the issue. Ideally the page wouldn't return a 500, just a 200 with an error message (or that is common practice). But again, unless there is further information which makes this seem more exploitable, this doesnt seem like a huge priority to me.
Status: UNCONFIRMED → NEW
Ever confirmed: true
Flags: needinfo?(ptheriault)
Keywords: sec-low
Whiteboard: [verif?]
|
|
||
Updated•12 years ago
|
Flags: sec-bounty?
|
|
||
Comment 4•12 years ago
|
||
But since you mentioned it, setting a maximum length on the string couldn't hurt, just in case.
|
||
Updated•12 years ago
|
|
|
||
Updated•12 years ago
|
Assignee: ptheriault → ross
|
|
Assignee | |
Comment 5•12 years ago
|
||
|
|
Assignee | |
Comment 6•12 years ago
|
||
Status: NEW → RESOLVED
Closed: 12 years ago
Resolution: --- → FIXED
|
||
Updated•1 year ago
|
Keywords: reporter-external
You need to log in
before you can comment on or make changes to this bug.
Description
•