Znajdź zawartość

W Internet Explorerze 7 znaleziono lukę, która może zostać wykorzystana do przeprowadzenie ataków phishingowych. Problem leży w sposobie, w jakim IE7 przechowuje informację o błędzie, która jest pokazywana, gdy użytkownik przerwie ładowanie strony WWW. Komunikat głosi, że ładowanie strony zostało przerwane przez użytkownika i proponuje jej odświeżenie. Błąd polega na tym, że atakujący może w miejsce odnośnika, który umożliwia odświeżenie, podstawić inny adres i skierować użytkownika na fałszywą stronę. Aviv Raff, odkrywca luki, informuje, że w ten sposób można skierować użytkownika na stronę, która wygląda identycznie, jak witryna np. banku czy serwisu aukcyjnego. Błąd pozwala na zarażenie komputera skryptem, który, po naciśnięciu przycisku "odśwież”, będzie wyświetlał użytkownikowi takie strony, jakich zażyczy sobie atakujący. Metoda taka zwana jest XSS (cross-site scripting). Błąd występuje w IE7 dla Windows XP i Visty.

Google załatał w swoim serwisie hostingowym lukę, która pozwalała na przeprowadzenie ataku XSS (cross-site scripting). Umożliwiała ona podejrzenie dokumentów, arkuszy kalkulacyjnych, tematów e-maili oraz historii wyszukiwarki użytkownika. Błąd powstał po tym, jak Google zaktualizował oprogramowanie niektórych swoich usług. Przed kilkoma dniami odkryto inną lukę powstałą po aktualizacji. Pozwalała ona na stworzenie strony internetowej przechowywanej w domenie google.com, za pomocą której można było ukraść ciasteczka (cookie) użytkowników i uzyskać dostęp do wykorzystywanych przez nich serwisów Google’a.

Allegro jest największym polskim serwisem aukcyjnym, którego codziennie używają tysiące osób sprzedając i kupując rozmaite przedmioty. Każda z tych akcji wymaga zalogowania się do części "Moje Allegro" której, jak się okazało, poziom bezpieczeństwa jest równy zeru, a co jednocześnie nie za bardzo interesuje pracowników Allegro, bo pomimo wysłania dwóch maili z konkretnymi przykładami ataków pozostały one bez odzewu. Znalezienie kilku błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty wliczając czasy ładowania się dokumentów HTML i grafik. Błędy te są bardzo poważne, o czym może świadczyć fakt, że osoba atakująca, z pomocą spreparowanego adresu URL, może bez większego trudu wykraść wszystkie dane osobowe (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. Można także bez większego problemu dostać się do danych związanych z sesją, aby, po ustawieniu identycznych wartości u siebie, przeglądać część administracyjną już jako zaatakowana osoba. Plusem systemu Allegro jest fakt, że przed wykonaniem kluczowych operacji pyta o nazwę użytkownika i hasło (co traci sens, jeśli da się je wykraść, ale zawsze). Jednak, co ciekawe, wystawienie nowej aukcji nie należy do tej grupy akcji i podczas próby ataku można swobodnie wystawić aukcję w dowolnej kategorii, o dowolnym tytule, opisie i kwocie kupna, której właścicielem będzie atakowana osoba. Spreparowany adres URL można oczywiście przepuścić najpierw przez jeden z wielu serwisów służących do generowania krótszych adresów, umieścić go w ukrytym IFRAME pod dowolną domeną lub wewnątrz wiadomości e-mail, co praktycznie uniemożliwia skuteczne wykrycie ataku. Całość sprowadza się do tego, że nie tylko panel administracyjny Allegro jest podatny na takie ataki jak XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, a w konsekwencji i na RCSR oraz Session Riding, ale również o to, że ignorancja pracowników Allegro może przekształcić się w spory problem dla niczego nieświadomych użytkowników. Aktualizacja: W oświadczeniu przesłanym serwisowi Hacking.pl przedstawiciel Allegro stwierdził, że dział techniczny serwisu rozpoczął pracę nad poprawą zabezpieczeń.