Luka w Allegro załatana
Luka bezpieczeństwa o której pisałem w sobotę została dzisiaj skutecznie załatana*. Już nie ma możliwości wstawiania do opisu aukcji skryptów JavaScript, obiektów Flash, a także zakazanych ciągów znaków.
Jednak niebezpieczeństwo nadal istnieje.
Odkryta przeze mnie druga luka, pozwalająca na użycie ujemnych marginesów nadal istnieje. Także luka związana z 'position: fixed;', odkryta przez Pawła Węgrzyna (Krejd), również stanowi pewne zagrożenie dla nieświadomych użytkowników Allegro.
Zagrożenie było o wiele większe ...
Paweł przedstawił na swojej stronie przykład wykorzystania luki - pozwalała ona na częściowe przejęcie konta dowolnego użytkownika. W rzeczywistości można było również uzyskać pełną kontrolę nad kontem (zmiana hasła, itp) - jednak nie zdążyłem tego zademonstrować.
Kod:
Miałem zamiar podać kod który posłużył mi do wstawienia JS i obiektu Flash do opisu aukcji - jednak nie zrobię tego z prostej przyczyny: modyfikacja kodu może nadal stanowić niebezpieczeństwo dla Allegrowiczów.
Obrazek pod tytułem zdradza częściowo wykorzystaną technikę - oceńcie to sami ...
Pozostaje nam wierzyć, że nasze dane na Allegro są bezpieczne.
"Bezpieczne" - moim zdaniem to słowo nabiera teraz trochę innego znaczenia.
To nie koniec
Jak już wspomniałem, dwie luki nadal istnieją. Dzięki nim możliwa jest 'podmiana' stałych elementów strony - należy zachowywać szczególną ostrożność podczas logowania (sprawdzenie adresu strony na której się znajdujemy).
Na koniec cytat:
Do tej pory zastanawiam się, czy to co usłyszałem nie było efektem [...], lub podobnych rzeczy ...
Ja: [...] sesja nie jest przypisana do konkretnego IP
Allegro: to chyba oczywiste
*
Ciekawostka: w pewnych warunkach z pracownikami Allegro można kontaktować się poprzez formularz dodawania opisu do aukcji ;)
Komentarze 6:
Mogli mnie zatrudnić to by do takiej sytuacji nie doszło :D
Allegro to jedna wielka dziura....
Ile można dostać za takie odkrycie luki?
Tak z 10 lat... ;)
Sbkch, dobre ;)
Dodaj komentarz: