Kolejna luka bezpieczeństwa w Allegro

Jak wiadomo, po raz kolejny 'odkryto' lukę w serwisie aukcyjnym Allegro. Podstawowa znajomość CSS'a wystarczyła, aby przekierować użytkownika na dowolnie spreparowaną stronę. Bug został częściowo załatany, zapowiadane są ograniczenia niektórych atrybutów CSS. Czy po zmianach Allegro będzie bezpieczne?
Dzisiaj odkryłem luke bezpieczeństwa w serwisie Allegro, która pozwala wstawić do opisu aukcji dowolny kod CSS, (X)HTML, JavaScript, ...

O pierwszej luce z wykorzystaniem CSS'a
(osoby znające sprawę mogą opuścić ten fragment)
# Pokaż fragment

Flash, JavaScript, ... - możesz robić co tylko chcesz
Przykład wykorzystania odkrytej przeze mnie luki, zademonstrowałem na tej aukcji: Przykładowa aukcja zawierająca wstawiony filmik z YouTube (kopia aukcji).

Aukcja jest całkowicie bezpieczna - nie zawiera zabronionych znaczników, poza tymi, które są niezbędne do wstawienia przykładowego obiektu Flash.

Możemy sobie tylko wyobrazić, co stałoby się w przypadku, w którym odkryta technika zostałaby wykorzystana w celu naruszenia bezpieczeństwa użytkowników Allegro ...

Z oczywistych względów nie podam publicznie sposobu który wykorzystałem.

Następna luka
Kolejna luka jaką udało mi się odnaleźć (wczoraj) jest podobna do tej, o której słyszeliśmy kilka dni temu. Dzięki niej możemy korzystać z niektórych zabronionych parametrów CSS: między innymi z ujemnych paddingów i marginesów.
Pozwala ona na ukrycie stałych elementów aukcji i zastąpieniu ich spreparowanymi.

Ta luka jest równie groźna jak poprzednia, jednak gdy mamy do dyspozycji nieograniczone możliwości JavaScriptu ...

Informacje dodatkowe ...
Kontaktować można się pod adresem: adriano/ at /7pl.pl
Chętnie odpowiem na wszystkie pytania - nie zdradzę jednak nikomu wykorzystanych technik.
Informacja o lukach w tej chwili została zgłoszona administracji Allegro - myślę, że dzięki współpracy uda się szybko wyeliminować istniejące zagrożenia.

O dalszych wydarzeniach będę informował na bieżąco ...

Komentarze 845:

  • » Robin: 07.07.2007 o 16:11

    Ale wpadli :))

  • » Maciej Pawłowski: 07.07.2007 o 17:01

    Ujemny padding? Od kiedy to takie cuda działają?

    > Unlike margin properties, values for padding values cannot be negative.

    Poza tym — moim zdaniem lepiej było wysłać maila do administracji allegro i *po załataniu dziur* ewentualnie pochwalić się znaleziskiem…

  • » Eugene: 07.07.2007 o 17:03

    > *po załataniu dziur* ewentualnie pochwalić się znaleziskiem…

    Nie wiesz, ze na maile o dziurach administracja Allegro leje ciurkiem parabolicznym? Upublicznienie takich informacji to jedyny sposob na tych leni.

  • » Tomasz Topa: 07.07.2007 o 17:43

    Nic tak nie motywuje jak świadomość, że wiadomość o dziurze może w dowolnym momencie pojawić się na jakiejś stronie :) Taki doping specyficzny :)

    Opublikowanie tego wpisu nie jest niebezpieczne. "Proof of concept" nie pokazuje sposobu dodania tych elementów. Ten <object /> tam po prostu jest...

  • » Sulucilus: 07.07.2007 o 18:00

    Ciekawe, w ktorym miejscu zapomnieli wlaczyc filtrowania.. ;]

  • » Dawid Lizak: 07.07.2007 o 18:01

    IMHO nie ma najmniejszej potrzeby blokowania ŻADNYCH stylów CSS i ŻADNYCH ujemnych właściwości przy aktualnym zabezpieczeniu poprzez overflow:hidden i position:relative. Poza tym banalnie proste jest zabezpieczenie aukcji przed wstawieniem kodu JS, czy obiektów Flash. Czy tam naprawdę pracują tacy niekompetentni ludzie?
    Zabezpieczenie które zostało użyte aktualnie w systemie allegro (overflow:hidden + position:relative) o dziwo pojawiło się niedługo po dyskusji w komentarzach wykop.pl na temat tejże dziury. Śmiem twierdzić, że ludzie tam pracujący potrafią jedynie dobrze szukać, bo na webdeveloperce się nie znają.

  • » Wilk: 07.07.2007 o 18:49

    @Dawid - jesli chodzi o pozycjonowanie CSS, to nadal da sie czesciowo ominac zabezpieczenie.

  • » Dawid Lizak: 07.07.2007 o 19:37

    Co masz na myśli mówiąc "częściowo"? Przyjmijmy, że nie rozmawiamy tutaj o tym jak zhackować Allegro, tylko o możliwościach CSS :) Więc jak ominiesz to zabezpieczenie? Z takiego bloku po prostu nie da się wyjść poza jego granice...

  • » Jpv2: 08.07.2007 o 03:29

    Wystaw tą dziurę na wslabi.com. To ich jeszcze bardziej zmotywuje. Albo na Allegro - ale ten numer by już chyba nie przeszedł ;-)

  • » U.ghost: 08.07.2007 o 10:30

    Super.
    Piszesz że może to załatają.
    Spoko - tylko kiedy? Dałeś właśnie dowód własnej rozwagi. Piszesz: 'co by było gdyby:// ta technoligia" wpadła w ręce złych ludzi' - ale wszędzie się czyta że allegro.pl olewa takie dziury. No i co powiesz? Ta technologia jednak wpadnie w ręce złych ludzi.

  • » Ughost: 08.07.2007 o 10:32

    Swoją drogą.. dlaczego zmienia mi literki w nicku przy dodawaniu komentów na tym Twoim blogasku? He? Żeby było ładnie? Postanowienie: "zbiorę społeczność'' dam im trochę do poczytania ale ubiorę ich jednakowo" (?) Link też ciekawie zmieniany. LOL :P

  • » Jpv2: 08.07.2007 o 12:35

    @Ughost

    Też mnie dziwi to uppercase pierwszej literki.

  • » Adriano: 08.07.2007 o 15:09

    Ta zmieniona literka aż tak Wam przeszkadza? ;)

    Co do Allegro: luka nadal istnieje, do tej pory nikt z allegro nie zapytał się o żadne szczegóły ...

    Może nie mają zamiaru tego naprawiać?

  • » Jpv2: 08.07.2007 o 17:19

    "Ta zmieniona literka aż tak Wam przeszkadza? ;) "

    Nie tyle przeszkadza, co wywołuje mieszane uczucia. Mi się to kojarzy z autotekstem z Outlooka. Ile razy zamiast "attached" pisał mi "attache", bo mu się wydawało, że tak będzie lepiej. Że nie wspomnę o koledze, który zatytułował maila "Dear Denis", a poprawiło mu na "Dear Penis" - nie zauważył, wysłał, no i był wstyd ;-)

  • » Ughost: 08.07.2007 o 23:37

    Uppercase pierwszej i downcase reszty:/ Porażka.
    Tak - przeszkadza i denerwuje, bo zwykłęm z tego że u w nazwie mojego niku jest małe, bo pochodzi od innego słowa, a G jest duże, bo to pierwsza litera słowa Ghost. Razem: uGhost.
    Wolności Panie Adminie!! :P

  • » Rincewind: 09.07.2007 o 08:57

    A wybrałeś powód zgłoszenia: Sprawy techniczne › Zgłoszenie dotyczące zabezpieczeń serwisu ? Czy jakiś inny? Bo ten powód został stworzony zaraz po jednej z "dziur" i miał przyspieszyć reakcję. Z tego co wiem, reagują szybko, o ile wybierze się właściwy powód zgłoszenia.

  • » Ludwik: 09.07.2007 o 16:15

    No to: http://wslabi.com/wabisabilabi /initPublishedBid.do za hacking.pl

  • » Wilk: 09.07.2007 o 21:08

    @Dawid - chodzilo o fixed, o ktorym napisal na swojej stronie Krejd. Przy przesuwaniu suwaka przegladarki widzisz niby caly czas to samo, ale w przypadku rolowania myszą - warstwa przewija sie normalnie (i tylko pasek przegladarki caly czas jest w jednym miejscu).

  • » Adriano: 10.07.2007 o 10:15

    Opisywane luki nadal działają ...

  • » Patryk: 10.07.2007 o 11:05

    Rzucili coś zielonych za znalezienie dziury?

  • » Krejd: 11.07.2007 o 03:41

    Ależ oczywiście. Drupinaście setek malakarów. Przeliczając na polską walutę będzie to około... hmm... zero złotych i zero groszy? :P

Dodaj komentarz:

Dostępne tagi: [link]http://adres-www[/link] [quote]cytat[/quote] [code]kod[/code] [pre]tekst preformowany[/pre] [b]bold[/b]