Luka w Allegro załatana

Allejaja

Luka bezpieczeństwa o której pisałem w sobotę została dzisiaj skutecznie załatana*. Już nie ma możliwości wstawiania do opisu aukcji skryptów JavaScript, obiektów Flash, a także zakazanych ciągów znaków.
Jednak niebezpieczeństwo nadal istnieje.
Odkryta przeze mnie druga luka, pozwalająca na użycie ujemnych marginesów nadal istnieje. Także luka związana z 'position: fixed;', odkryta przez Pawła Węgrzyna (Krejd), również stanowi pewne zagrożenie dla nieświadomych użytkowników Allegro.

Zagrożenie było o wiele większe ...
Paweł przedstawił na swojej stronie przykład wykorzystania luki - pozwalała ona na częściowe przejęcie konta dowolnego użytkownika. W rzeczywistości można było również uzyskać pełną kontrolę nad kontem (zmiana hasła, itp) - jednak nie zdążyłem tego zademonstrować.

Kod:
Miałem zamiar podać kod który posłużył mi do wstawienia JS i obiektu Flash do opisu aukcji - jednak nie zrobię tego z prostej przyczyny: modyfikacja kodu może nadal stanowić niebezpieczeństwo dla Allegrowiczów.
Obrazek pod tytułem zdradza częściowo wykorzystaną technikę - oceńcie to sami ...
Pozostaje nam wierzyć, że nasze dane na Allegro są bezpieczne.
"Bezpieczne" - moim zdaniem to słowo nabiera teraz trochę innego znaczenia.

To nie koniec
Jak już wspomniałem, dwie luki nadal istnieją. Dzięki nim możliwa jest 'podmiana' stałych elementów strony - należy zachowywać szczególną ostrożność podczas logowania (sprawdzenie adresu strony na której się znajdujemy).

Na koniec cytat:
Do tej pory zastanawiam się, czy to co usłyszałem nie było efektem [...], lub podobnych rzeczy ...

Ja: [...] sesja nie jest przypisana do konkretnego IP
Allegro: to chyba oczywiste

*
Ciekawostka: w pewnych warunkach z pracownikami Allegro można kontaktować się poprzez formularz dodawania opisu do aukcji ;)

Komentarze 6:

  • » Kk: 10.07.2007 o 19:20

    Mogli mnie zatrudnić to by do takiej sytuacji nie doszło :D

  • » Agent: 11.07.2007 o 00:06

    Allegro to jedna wielka dziura....

  • » Prosty: 12.07.2007 o 23:21

    Ile można dostać za takie odkrycie luki?

  • » Sbkch: 17.07.2007 o 17:50

    Tak z 10 lat... ;)

  • » Adriano: 17.07.2007 o 23:20

    Sbkch, dobre ;)

Dodaj komentarz:

Dostępne tagi: [link]http://adres-www[/link] [quote]cytat[/quote] [code]kod[/code] [pre]tekst preformowany[/pre] [b]bold[/b]