wtorek, 16 stycznia 2007

Allegro pełne dziur 2

Po krótkiej przerwie postanowiłem umieścić kolejny wpis na blogu, jako że nadarzyła się ku temu okazja. Wszyscy zapewne pamiętają słynną historię z błędami w Allegro wykrytymi przed świętami przez ekipę hacking.pl. Po dwóch tygodniach od załatania tamtej luki postanowiłem przyjrzeć się zabezpieczeniom allegro. Jak się okazało znalezienie kolejnego błędu o takim samym stopniu niebezpieczeństwa zajęło mi 10 minut. Skontaktowałem się z autorem artykułu, który potwierdził moje spostrzeżenia. Celowo nie informowałem Allegro czekając, aż sami znajdą owy błąd. Jak się okazało Administratorom serwisu zajęło to ponad miesiąc! Teraz kiedy luka jest już nieaktywna przedstawię jej szczegóły. Otóż Allegro poprawnie przetwarzało zarówno zmienną PHP_SELF jak i wartości zmiennych przekazywanych przez użytkownika. Niepoprawnie były jednak obsługiwane same nazwy zmiennych. Oto zrzuty ekranów:














A oto przykładowy link wyświetlający ciasteczko i efekt jego działania:

























Oraz wykorzystanie JavaScript Injection do XSS:
















Jak przypuszczam Allegro liczyło na to, iż sprawa nigdy nie wyjdzie na światło dziennie. Szkoda, że tak podchodzi się do polityki bezpieczeństwa. Użytkownicy mają prawo wiedzieć o ryzyku jakie im grozi. Domyślam się, że gdybym przed publikacją tej informacji napisał maila do Allegro, to dowiedziałbym się, że serwis jest bezpieczny i żadnego ryzyka z jego użytkowania nie ma i nie było. Mam nadzieję, że po tej historii sprawa lekko się zmieni i tak oczywiste błędy będą łatane szybciej, niż w miesiąc!


Brak komentarzy: