Allegro i XSS - historia sie powtarza
Wczoraj w Sieci pojawiła sie informacja o wykryciu nowej luki w Allegro, która wykorzystuje CSS do 'podmiany' stałych elementów aukcji. Hmm, przecież ponad miesiąc temu mieliśmy podobną sytuację ...
Więcej o tej sprawie i niezałatanych lukach napisałem w artykule "Allegro: bezpieczeństwo? Co to takiego?".
Ale teraz przejdźmy do konkretów: dzisiaj odkryłem nową lukę bezpieczeństwa, która pozwala na wstawienie do opisu aukcji dowolnego kodu: HTML i JavaScript, a także możemy osadzić obiekty typu Flash, oraz inne (w zależności od naszych upodobań).
Zobacz przykładową aukcję (Już usunięta - kopia).
Ktoś pewnie powie: "Ok, możemy wstawić filmik Flash, skrypt JS, ale w jaki sposób to może zagrażać użytkownikowi Allegro?"
Już kiedyś Krejd dokładnie przedstawił niektóre możliwości takiej luki.
Bezpieczeństwo na pierwszym miejscu.
W takim serwisie jak Allegro nie można zostawiać otwartych drzwi. Ponad miesiąc temu mieliśmy podobną sytuację.
Allegro łata to, co zostało ujawnione. Czy można dopuszczać do takich sytuacji, aby przeciętny bloger mógł w kilka minut znaleźć poważną lukę bezpieczeństwa w największym serwisie aukcyjnym?
Allegro potrzebuje przebudowy.
Nie wystarczy załatać te, czy kolejne luki. Allegro potrzebuje zmian. Nawet tak rozbudowany serwis jak Allegro można w prosty sposób zabezpieczyć. Wystarczy tylko przewidzieć gdzie i jakie zagrożenie może sie w danej chwili pojawić. Wiem, że serwis gdzie można wstawiać kod HTML jest bardzo podatny na ataki, lecz i temu można zapobiec. Przecież ewentualne wstawienie do opisu aukcji kodu JS nie musi być zagrożeniem - wystarczy tylko pomyśleć.
Zabezpiecz się
Najlepszym rozwiązaniem będzie wyłączenie obsługi JavaScript w przeglądarce podczas korzystania Allegro.
Informacje dodatkowe
Informacja o odnalezionej luce została już zgłoszona pracownikom Allegro. Przedstawiona aukcja ma charakter jedynie potwierdzający autentyczność luki - nie zagraża ona bezpieczeństwu użytkowników.
Skontaktować ze mną można się pod adresem: adriano /at/ 7pl.pl
Informacje prawne
Art. 6. Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:
1) szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną,
Ustawa o świadczeniu usług drogą elektroniczną
Komentarze 98:
Szybko ununeli :D
Ludziom znudziły się już te ciągłe luki. Dla allegro to chyba dobrze, nie? :)
Opisywana luka została już załatana - szybko, w porównaniu do sytuacji sprzed miesiąca ;)
W przeciwieństwie do wykopu, gdzie możliwości narobienia syfu było w sumie niewiele i zostało to wszystko po poprawiane, taka kobyła jak Allegro jeszcze długo będzie rzucała takimi kwiatkami jak tylko jakiś "przeciętny bloger" postanowi sprawdzić swoje umiejętności (czy zwyczajnie spróbować zrobić "coś" na przekór założeniom) - chyba, że ktoś załatwi naprawdę porządny audyt bezpieczeństwa.
Problem nie ma miesiąca. Opisałem go w kwietniu 2006, a Allegro i eBay wie o nim od marca 2006. Polecam link pod nickiem.
Pozdrawiam,
Adriano! Chylę czółko :) Brawo, brawo, brawo! Nie wiem tylko co na to allegro, bo upublicznianie luk może być przestępstwem... Z drugiej jednak strony lepiej wiedzieć co niebezpiecznego możne nas spotkać... Bardzo dobry art!
Windows też jest ciągle łatany i ciągle odkrywane są nowe dziury. Tak to już jest.
Na szczescie jest alternatywa - [spam]
Allegro odkrywa i łata dziury, ale też wprowadza nowe pseudoułatwienia, które od razu okazują się dziurami......
Dodaj komentarz: