Wysłany: 2007-07-06, 22:41 Niebezpieczna luka na Allegro
Cytat:
Jeden z użytkowników Allegro wykrył lukę bezpieczeństwa pozwalającą osobom wystawiającym aukcje przekierować licytujących na dowolną przygotowaną wcześniej stronę.
Użytkownik, który twierdzi, że powiadomił obsługę Allegro o problemie, przygotował też aukcję demonstrującą co można zrobić wykorzystując lukę. W przygotowanej niby-aukcji odnośnik do panelu ("Moje Allegro") prowadził pod nieistniejący adres www.spreparowany-link.phishingowy/ (!), natomiast kliknięcie przycisku "licytuj" przekierowywało do www.niebezpieczna-strona.phishingowa/.
Co więcej osoba, która znalazła błąd wykazała też, że można za jego pomocą podmienić dane sprzedawcy. Na aukcji w rubryce "sprzedawca" można było zobaczyć "słoneczko" i ponad pół tysiąca punktów z systemu komentarzy. Jednak kliknięcie na nazwę konta przenosiło na kartę zupełnie innego użytkownika, posiadającego... zero komentarzy.
W tym przypadku ktoś ewidentnie chciał tylko pokazać istnienie błędu. Jednak ten sam błąd można wykorzystać do np. wyłudzenia hasła. Aby ustrzec się przed tym zagrożeniem należy zwracać uwagę na adres pokazujący się w pasku adresowym (a wcześniej, po wskazaniu kursorem odpowiedniego linku, również na pasku stanu).
Z oczywistych względów nie podaję tutaj bliższych szczegółów odnośnie wykorzystanej techniki. Jeśli chodzi o Allegro, rzecznik serwisu, Bartek Szambelan, zapewnia, że temat jest znany i dział bezpieczeństwa pracuje nad problemem. Kłopot polega na tym, że proste usunięcie przyczyny może uczynić bezwartościowymi wiele szablonów aukcji, z których korzysta (a za które wcześniej płaciło kupując od innych osób) wielu użytkowników wystawiających zwykłe aukcje.
Jak zapowiada Bartek Szambelan, więcej informacji w tym zakresie Allegro udostępni w poniedziałek.
AKTUALIZACJA
Jak mówi osoba, która odnalazła lukę, Paweł "Krejd" Węgrzyn, na zgłoszenie
problemu administrator Allegro odpisało dość szybko, obiecując, że dział
techniczny "kompleksowo sprawdzi" zaistniały problem.
Okazuje się jednak, iż problem pracownikom Allegro znany jest od dawna, a
o możliwości wykorzystania dokładnie tej samej techniki alarmował
obsługę serwisu już ponad rok temu Jacek Z. Strzembkowski, autor
serwisu Aukcje.org.
Serwis Allegro.pl podjął działania mające na celu usunięcie luki w zabezpieczeniach, o której pisaliśmy w Dzienniku Internautów w środę, w informacji pt. "Niebezpieczna luka na Allegro", która to dawała możliwość podmiany zawartości strony aukcji poprzez style CSS.
Opisywana luka bezpieczeństwa wykorzystuje możliwości niektórych atrybutów CSS, za pomocą których można wpłynąć na widoczność niektórych elementów strony.
Pracownicy serwisu testują obecnie rozwiązanie, które być może pozwoli na rozwiązanie problemu bez ograniczania dostępu do formatowania wyglądu aukcji przez CSS. Jeśli wyniki tego testu okażą się pozytywne pod względem bezpieczeństwa, zostanie ono wprowadzone w życie. W przeciwnym wypadku w opisach licytacji oraz na stronach "o mnie" zablokowana zostanie możliwość stosowania następujących parametrów CSS: position, display, z-index.
Zanim rozpoczęły się testy nad metodą nieograniczającą CSS, rzecznik prasowy Allegro.pl - Bartek Szambelan - mówił: "Prosimy naszych użytkowników o usunięcie z opisów aukcji i stron "O mnie" powyższych stylów CSS. Ponieważ są one stosowane przez wielu użytkowników, zapowiedziana zmiana zostanie wprowadzona po miesięcznym okresie przejściowym, 1 sierpnia 2007. 17 lipca zostanie uruchomiona strona, na której można będzie sprawdzić poprawność opisu aukcji po usunięciu wymienionych stylów.
Jednocześnie Bartek Szambelan przypomina, iż regulamin Allegro zabrania przemieszczania, blokowania, zakrywania lub dublowania stałych elementów strony z opisem (w tym m.in. okien, które służą do składania ofert w aukcjach) (punkt 19.10).
Tymczasem Paweł "Krejd" Węgrzyn, który zademonstrował działanie luki mówi, że widzi również inny sposób na usunięcie problemu, na razie jednak nie zdradził redakcji szczegółów.
Okazuje się jednak, że zagrożenie dotyczy nie tylko Allegro, ale też eBaya. Gdy ponad rok temu sprawę opisywał na łamach serwisu Aukcje.org Jacek Z. Strzembkowski, problem dotyczył też eBaya (wszystkie filie), Świstaka i wszystkich filie QXL (włącznie z zamkniętym już serwisem Aukcje24.pl).
"eBay nadal nie jest szczelny na opisane tricki. Wie o nich centrala - byłem w warszawskiej siedzibie eBaya po wykryciu luki" - mówi Jacek Z. Strzembkowski.
Obecnie oczekuję na odpowiedź eBay.pl na pytanie czy i na kiedy serwis planuje likwidację zagrożenia. Tymczasem, jak zauważa Jacek, w przypadku eBaya zagrożeń jest znacznie więcej. Jego zdaniem w tym przypadku można zagrozić użytkownikom też innymi technikami, m.in. JavaScriptem, choć nie tylko.
Również w przypadku Świstaka nadal możliwe jest użycie w stylach wymienionych na początku artykułu parametrów. Jednak jak mówi jeden z przedstawicieli tej platformy, Krzysztof Michalak, opracowanie zabezpieczeń antyphishingowych jest aktualnie dla Świstaka działaniem priorytetowym. Dodaje też, że niedawno w wyniku interwencji pracowników serwisu zlikwidowana została strona phisherów, którzy za cel obrali sobie użytkowników tego serwisu.
AKTUALIZACJA
Do redakcji dotarł mail, w którym Bartek Szambelan napisał, iż testy metody rozwiązania problemy zostały zakończone. W liście czytamy:
Cytat:
W tej chwili problem został rozwiązany tak, by w jak najmniejszym stopniu ingerował w opisy przedmiotów, uniemożliwiając jednocześnie złośliwe wykorzystanie kodu na stronach przedmiotów.
Użytkownicy nadal mają możliwość modyfikacji części z opisem przedmiotu, nie mogą jednak wykorzystać kodu zakrywając stronę Allegro spreparowanymi elementami ze zmienionymi/fałszywymi linkami i formularzami, co zdarzyło się ostatnio.
Niestety nie padły konkrety co do metody, jaką zastosowali pracownicy Allegro. Jednak jak twierdzi Paweł "Krejd" Węgrzyn - lukę nadal można wykorzystać.
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
FAQ
Szukaj
Użytkownicy
Grupy
Statystyki
Rejestracja
Zaloguj
Album
Download
