Allegro pełne dziur!
WZT - 2006-12-23, 00:00 Allegro jest największym polskim serwisem aukcyjnym, którego codziennie używają tysiące osób sprzedając i kupując rozmaite przedmioty. Każda z tych akcji wymaga zalogowania się do części "Moje Allegro" której, jak się okazało, poziom bezpieczeństwa jest równy zeru, a co jednocześnie nie za bardzo interesuje pracowników Allegro, bo pomimo wysłania dwóch maili z konkretnymi przykładami ataków pozostały one bez odzewu. Znalezienie kilku błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty wliczając czasy ładowania się dokumentów HTML i grafik. Błędy te są bardzo poważne, o czym może świadczyć fakt, że osoba atakująca, z pomocą spreparowanego adresu URL, może bez większego trudu wykraść wszystkie dane osobowe (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. Można także bez większego problemu dostać się do danych związanych z sesją, aby, po ustawieniu identycznych wartości u siebie, przeglądać część administracyjną już jako zaatakowana osoba. Plusem systemu Allegro jest fakt, że przed wykonaniem kluczowych operacji pyta o nazwę użytkownika i hasło (co traci sens, jeśli da się je wykraść, ale zawsze). Jednak, co ciekawe, wystawienie nowej aukcji nie należy do tej grupy akcji i podczas próby ataku można swobodnie wystawić aukcję w dowolnej kategorii, o dowolnym tytule, opisie i kwocie kupna, której właścicielem będzie atakowana osoba. Spreparowany adres URL można oczywiście przepuścić najpierw przez jeden z wielu serwisów służących do generowania krótszych adresów, umieścić go w ukrytym IFRAME pod dowolną domeną lub wewnątrz wiadomości e-mail, co praktycznie uniemożliwia skuteczne wykrycie ataku. Całość sprowadza się do tego, że nie tylko panel administracyjny Allegro jest podatny na takie ataki jak XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, a w konsekwencji i na RCSR oraz Session Riding, ale również o to, że ignorancja pracowników Allegro może przekształcić się w spory problem dla niczego nieświadomych użytkowników. Źródło: http://hacking.pl/6344 Bonhart - 2006-12-24, 00:55 enooo...allegro takie cienkie...heh...niech cos z tym zrobia... Didi - 2006-12-24, 09:21 http://di.com.pl/news/15482,1.html Kod: Zaznacz całySerwis aukcyjny Allegro potwierdził wczorajsze doniesienia serwisu Hacking.pl, jednak zdecydowanie zaprzecza, że poziom zabezpieczeń platformy jest zerowy - czytamy w komunikacie przesłanym do dziennikarzy. - Nie będziemy bronić się przed zarzutami stawianymi przez Pana Łukasza. Rzeczywiście dokonał on tego czego dokonał. Co więcej chcielibyśmy podziękować mu za sposób w jaki próbował załatwić te sprawę. Pan Łukasz nie robił sztucznego szumu. Zamiast tego skontaktował się z naszym serwisem i próbował nam pomóc w rozwiązaniu problemu. - wyjaśnia Patryk Tryzubiak z Allegro.pl Przedstawiciel Allegro potwierdza ponadto, że reakcja serwisu na e-maile Łukasza Lacha z Hacking.pl była spóźniona. Zapewnia jednak, że nie było to wynikiem złej woli pracowników - listy te trafiły po prostu do kolejki w formularzu zgłoszeniowym. Jak informuje Tryzubiak - okres przedświąteczny jest zwykle związany ze wzmożoną pracą na Allegro i dużo większą ilością korespondencji, dlatego też przesłane informacje czekały na reakcję dłużej niż powinny. Allegro szybko zdecydowało się również na wprowadzenie pewnych zmian w komunikacji z Działem Technicznym serwisu, by w przyszłości wyeliminować podobne problemy. Stworzono obecnie dwa formularze do zgłaszania uwag,: Bezpieczeństwo > Zgłoszenia dotyczące zabezpieczeń serwisu oraz Sprawy techniczne > Zgłoszenia dotyczące zabezpieczeń serwisu dzięki czemu informacje o bezpieczeństwie będą docierały do techników platformy w osobnej kolejce, a więc będą bardziej widoczne. Patryk Tryzubiak zapewnia ponadto, że problem został już naprawiony. Wykorzystanie wskazanych przez Hacking.pl błędów nie było jednak tak proste, jak sugerują niektórzy internauci - twierdzi przedstawiciel Allegro - i wymagało "pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl." Tryzubiak twierdzi też, iż zapowiadana przerwa techniczna Allegro nie jest związana z błędami odkrytymi przez Łukasza Lacha.
|