Aukcje.org
Aukcje internetowe w Polsce i na świecie
Allegro - domyślny SSL oraz dwa nowe bugi
Trochę zaskoczyło mnie to, co dziś zauważyłem w trakcie logowania do konta na Allegro. Jako pierwsza pojawiła się strona „Proszę czekać - Za chwilę nastąpi przekierowanie na stronę logowania…”. Coś nie tak? Nie.. wszystko w najlepszym porządku - poza drobnym detalem. Następna strona, jaka się pojawiła (strona logowania) domyślnie miała zaznaczoną opcję „Bezpieczne przez SSL”.
Być może, zmiana ma związek z ostatnio znalezioną dziurą. Podobno* Allegro zdołało błyskawicznie załatać filtry treści. Ich wady pozwalały na zamieszczanie niebezpiecznych kodów XSS oraz CSRF. Istnieje ich całkiem sporo, więc nie dziwię się, że „dla pewności” wprowadzono domyślne logowanie SSL. Zwłaszcza że nadal możliwe jest całkiem sporo dziwnych „tricków”…
Pierwszy bug (CSRF):
przyjmuje go filtr treści opisów aukcji (trzeba go wprowadzać przez oprogramowanie do wystawiania aukcji - inaczej nie wchodzi) oraz filtr na starej kafejce. Nie jest groźny - ale działa dosyć kuriozalnie: wylogowuje wszystkich, którzy widzą stronę, na którą przemycimy kod:
<img src="http://www.allegro.pl/logout.php?mm=1">
Drugi bug:
…ten niestety może być groźny. Formularz potwierdzenia oferty w aukcji, mimo że powinien działać w metodzie POST - można przymusić do działania w metodzie GET. Możliwe jest zbudowanie mechanizmu CSRF lub linku - automatycznie składającego ofertę w aukcji. Błąd tkwi w braku dokładnej kontroli referencji między stronami (z jakiej strony weszliśmy do potwierdzenie złożenia oferty) - istniejące zabezpieczenie można obejść. Drugi element błędu to brak kontroli nad tym, jak dane trafiają z formularza - czy przez POST, czy przez GET…
* informacja uzyskana od dziennikarza, który kontaktował się z rzecznikiem Allegro.
Zobacz:
Poprzedni news: Rozprawa Cezcez vs allegro.pl - drugie posiedzenie
Następny news: eBay.pl - Martyna Wojciechowska, Robert Kubica i Marek Zawadka wspierają aukcję Fundacji „Przyjaciel”.
- fide - najstarszy w Polski sklep internetowy oferujący piękne, unikalne i markowe produkty wyposażenia i dekoracji wnętrz.
- Skype PL - Codziennie 150 000 nowych użytkowników
- Intymna.pl - najlepszy sklep internetowy z branży odzieżowej
- Pracuj.pl: blisko 12 000 ofert pracy z Polski i zagranicy.
- e-prawnik.pl oferuje pomoc w rozwiązywaniu problemów życia codziennego klientom indywidualnym oraz małym i średnim firmom
Partnerzy:
RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności
Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone
# subiektyw — 12/9/2006 @ 11:20:
To przekierowywanie ma jedną wadę - za długo trwa …
Druga sprawa - kiedy wreszcie przy uruchamianiu striny głównej kursor będzie ustawiony na pasku wyszukiwania (tak jest np. w Google) aby mozna było od razu zacząć szukać przedmiotu??? To jest jeszcze bardziej denerwujące , za każdym razem trzeba ustawiać kursor ręcznie na pasku wyszukiwania i dopiero wtedy można szukać
# johnybravo — 12/9/2006 @ 17:24:
Odkad „fachowcy z allegro” zaczeli grzebac przy ssl Opere mozna odstawic w kąt. Albo wywala komunikat „przegladarka nie obsluguje ciasteczek” albo „jestes zalogowany”… i nic wiecej sie nie dzieje.
Za taka amatorszczyzne jeszcze kaza placic - wstyd
# Joe — 12/9/2006 @ 19:33:
Spokojnie allegro ciągle szuka programistów tylko albo tak źle im placi albo poprostu nie wiem …
I jeszcze jedna ciekawostka chodzą słuchy że allegro ostatnio tnie SS bo sprawiało im to za duzo problemów w obsłudze itp ciekawe ….
# Jacek Z. Strzembkowski — 12/9/2006 @ 19:46:
najgorsze jest to, że oba opisane bugi przyszły mi do głowy na poczekaniu. Sprawdziłem - i wyszło że działają… Strach pomyśleć, co może zrobić ktoś, kto się w tym specjalizuje..
# Joe — 12/9/2006 @ 20:20:
Dziur jest więcej, ale jak to mawia mój znajomy „to nie moja brocha” zreszta ich prezentowanie jest niebezpiecznie nie dla allegro (oni nie wiem albo nie wiedza 80 % i/lub mają to gdzieś 20 %) ale dla ich użytkowników.
Pewnie nie da się zrobic w 100% bezpiecznego interfejsu jednak pewne błędy i działania są co najmniej dziwne.
# lpilorz — 12/9/2006 @ 23:58:
CSRF jest możliwy również dla metody POST - przy pomocy np. ukrytego formularza lub XML-HTTP. Obie te metody wymagają włączonej obsługi skryptów u ofiary. W drugim przypadku możliwe jest sfałszowanie nagłówka Referer. Ochrona przed CSRF jest bardzo trudna, jeśli serwis jest podatny na XSS, lub jeśli ofiara używa przeglądarki Internet Explorer (od dłuższego czasu dla IE znane są dwie luki związane m.in. z tego typu atakami).
Opisane przez Pana luki umożliwiają dokonanie ataku CSRF nawet z wyłączoną obsługą skryptów w przeglądarce ofiary - co jest niemożliwe w przypadku technik opisanych przeze mnie powyżej.
# lpilorz — 13/9/2006 @ 0:12:
Jeszcze tak na marginesie, wszystkie znajdowane ostatnio luki świadczą o tym, że Allegro dawno (nigdy?) nie było rzetelnie weryfikowane pod kątem bezpieczeństwa. Co prawda filtr niebezpiecznych elementów w kodzie HTML stron licytacji i użytkowników stoi na wysokim poziomie, bardzo dobry jest też system powiadomień e-mailowych (np. informacja o zmianie adresu e-mail jest wysyłana również na stary adres, co zapobiega wykorzystaniu XSS/CSRF do nadużycia systemu przypomnienia hasła - wiele serwisów o tym zapomina) - ale jak widać, jednocześnie zdarzają się elementarne błędy.
# Jacek Z. Strzembkowski — 13/9/2006 @ 19:50:
@lpilorz
referer nie jest (chyba - tak mi się wydaje) sprawdzany z nagłówka - na moje oko referencja wpisywana jest w cookie - brakuje mi czasu na sprawdzanie.
Faktycznie - allegro wydaje się nie przeprowadzać żadnych audytów systemów informatycznych. Ale takie audyty nie są obowiązkowe. Natomiast, z niewiadomych przyczyn serwis nie wywiązuje się z obowiązkowego (Art. 6. Ustawy o świadczeniu usług drogą elektroniczną) udostępniania „aktualnej informacji o: 1) szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną”. Wszystkie zmiany są wprowadzane po cichu, bez informowania użytkowników o fakcie istnienia i skali zagrożeń. Moim zdaniem, takie działanie ze strony Allegro nie wydaje się być zgodne z prawem.
# tert — 13/9/2006 @ 21:18:
A ja mam to w Firefoxie
# lpilorz — 13/9/2006 @ 21:59:
Zgadza się, na Allegro nie jest weryfikowany nagłówek Referer - wspomniałem o nim, ponieważ jest czasem wykorzystywany w podobnych serwisach jako opcjonalne zabezpieczenie (opcjonalne, ponieważ przeglądarka użytkownika nie musi wysyłać takiego nagłówka).
Tak a propos XSS i interpretacji specyficznego kodu przez przeglądarki - literówka w odnośniku „całkiem sporo” powoduje, że link reaguje na trzy różne sposoby w IE/FF/Operze. Czyżby zamierzony efekt? ;)
# Jacek Z. Strzembkowski — 13/9/2006 @ 22:15:
nic się nie da ukryć…. :P
Zmieniłem na jednoznaczny kod.
BTW…. zastanawiam się, czy jest wykonalna kombinacja wstrzykiwania JS przez IMG:
<img src="http://adr/script.js"> lub podobne
# lpilorz — 13/9/2006 @ 23:57:
Z tego co wiem, w archacznych wersjach IE było to możliwe, ale już dość dawno problem został rozwiązany. Aktualnie żadna przeglądarka nie wykona takiego skryptu.
Można natomiast zrobić odwrotnie, np. - jeżeli w image.jpg znajduje się skrypt, zostanie on wykonany. Oczywiście nic to nie wnosi w kwestii XSS.
# lpilorz — 14/9/2006 @ 12:28:
Heh, skrypt wyciął tagi:
<script src="http://adr/image.jpg”></script>
# Joe — 18/9/2006 @ 21:08:
Jak tak całkiem z innej beczki :)
Na allegro pokazały się zdjęcia z SA 2006 śmiesznie lub nie propouję lekko zmienić opisówkę na zdjeciu nr 17 :)
10.00 - 11.00 Allegro dziury i bugi dla początkujących jak zrobić proste skrypty ”żarty”
12.40 - 13.40 Dziury i bugi dla zawansowanych (hihi) włamy na konta itp.
14.20 - 15.20 Krótkie przejście przez budowę systemu serwera (od strony soft i hard) dlaczego ciągle są problemy ? Pytania i odpowiedzi z strony zespołu programistów allegro :)
15.40 - 16.40 Krótkie spotkanie z zespołem obsługi klienta allegro pt. „jak zdenerwować użytkownika brakiem jego obslugi”
17.00 - 18.00 Spotkanie pt. „Co z moimi zdjeciami i miniaturkami”
Napisz komentarz:
Opcja komentowania dla tego artykułu została wyłączona.