Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Allegro jest największym polskim serwisem aukcyjnym, którego codziennie używają tysiące osób sprzedając i kupując rozmaite przedmioty. Każda z tych akcji wymaga zalogowania się do części "Moje Allegro" której, jak się okazało, poziom bezpieczeństwa jest równy zeru, a co jednocześnie nie za bardzo interesuje pracowników Allegro, bo pomimo wysłania dwóch maili z konkretnymi przykładami ataków pozostały one bez odzewu.

Znalezienie kilku błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty wliczając czasy ładowania się dokumentów HTML i grafik.

Błędy te są bardzo poważne, o czym może świadczyć fakt, że osoba atakująca, z pomocą spreparowanego adresu URL, może bez większego trudu wykraść wszystkie dane osobowe (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd.

Można także bez większego problemu dostać się do danych związanych z sesją, aby, po ustawieniu identycznych wartości u siebie, przeglądać część administracyjną już jako zaatakowana osoba.

Plusem systemu Allegro jest fakt, że przed wykonaniem kluczowych operacji pyta o nazwę użytkownika i hasło (co traci sens, jeśli da się je wykraść, ale zawsze).

Jednak, co ciekawe, wystawienie nowej aukcji nie należy do tej grupy akcji i podczas próby ataku można swobodnie wystawić aukcję w dowolnej kategorii, o dowolnym tytule, opisie i kwocie kupna, której właścicielem będzie atakowana osoba.

Spreparowany adres URL można oczywiście przepuścić najpierw przez jeden z wielu serwisów służących do generowania krótszych adresów, umieścić go w ukrytym IFRAME pod dowolną domeną lub wewnątrz wiadomości e-mail, co praktycznie uniemożliwia skuteczne wykrycie ataku.

Całość sprowadza się do tego, że nie tylko panel administracyjny Allegro jest podatny na takie ataki jak XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, a w konsekwencji i na RCSR oraz Session Riding, ale również o to, że ignorancja pracowników Allegro może przekształcić się w spory problem dla niczego nieświadomych użytkowników.

Aktualizacja:

W oświadczeniu przesłanym serwisowi Hacking.pl przedstawiciel Allegro stwierdził, że dział techniczny serwisu rozpoczął pracę nad poprawą zabezpieczeń.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Wrocławska Izba Skarbowa postanowiła rozpocząć totalną inwigilację użytkowników Allegro. Urzędnicy ogłosili przetarg na stworzenie narzędzia, które nie tylko umożliwi sprawdzenie wszystkich transakcji dokonywanych na Allegro od 2007 roku, ale również będzie sprawdzało powiązania osób korzystających z Allegro z firmami kurierskimi.
      Dotychczas współpraca serwisu aukcyjnego ze skarbówką polegała na tym, że Izba Skarbowa wysyłała zapytanie dotyczące podejrzanych jej zdaniem transakcji, a Allegro musiało na nie odpowiadać.
      Teraz urzędnicy chcą przetwarzać na masową skalę informacje dotyczące sprzedawców, kupujących, oferowanych towarów, posiadanych rachunków bankowych, numerów telefonów, powiązań z innymi użytkownikami i umieszczanych ogłoszeń. Allegro złożyło w tej sprawie skargę do ministra finansów. Zdaniem Allegro działania te w sposób bezsprzeczny naruszają przede wszystkim zasadę praworządności i zasadę legalizmu płynące wprost z treści art. 7 Konstytucji RP, jak i art. 120 Ordynacji podatkowej. Również stanowią one naruszenie zasad określonych w art. 47 i art. 51 Konstytucji RP, które zawierają zasadę dotyczącą ochrony prywatności oraz zakazu zbierania przez organy informacji o obywatelach ponad przypadki niezbędne i uznane w demokratycznym państwie.
    • przez KopalniaWiedzy.pl
      Abdulaziz Alhaidari wraz ze współpracownikami z Saudyjskiego Centrum Fizyki Teoretycznej wysunęli hipotezę, że wśród niezwykłych cech grafenu znajduje się również... możliwość tworzenia masy.
      Jednym z najbardziej interesujących pomysłów dotyczących grafenu jest nadzieja, że materiał ten będzie mógł służyć do prowadzenia eksperymentów na gruncie fizyki relatywistycznej. Okazało się bowiem, że właściwości elektroniczne grafenu można dostosować tak, że elektrony i dziury poruszające się z prędkością miliona metrów na sekundę są matematycznym odpowiednikiem zachowania elektronów podróżujących w próżni z prędkością bliską prędkości światła. To oznacza, że elektrony nie podlegają konwencjonalnemu równaniu Schrodingera, ale równaniu Diraca, wykorzystywanemu w fizyce relatywistycznej. Równanie Diraca nie bierze pod uwagę masy, a zatem elektrony i dziury zachowują się tak, jakby nie miały masy. Spostrzeżenie takie jest niezwykle ważne dla badań, gdyż dotychczas relatywistyczne zachowanie elektronów mogli obserwować tylko ci naukowcy, którzy mieli dostęp do akceleratorów cząstek. Teraz badać je będzie mogło każde laboratorium dysponujące grafenem. Takie właściwości mogą też oznaczać powstanie urządzeń elektronicznych korzystających z zasad fizyki relatywistycznej.
      Uczeni rozważając czym jest masa spekulują, że występuje ona dlatego, że wszechświat ma dodatkowe wymiary, które istnieją tylko w najmniejszej skali. Wymiary te są uzwarcone. Takie wymiary mają niezwykły wpływ na mechanikę kwantową zmieniając dotyczące jej równania tak, że zawierają masę. Stąd, w teorii, bierze się masa.
      Alhaidari i jego zespół spekulują, że podobny efekt może występować w grafenie jeśli znajdujące się w nim wymiary zostaną uzwarcone (skompaktyfikowane). Grafen, jak wiemy, jest strukturą dwuwymiarową. Jeśliby zatem udało się zmniejszyć liczbę wymiarów grafenu z dwóch do jednego, wówczas równania opisujące zachowanie elektronów i dziur w grafenie - które, jak pamiętamy, nie biorą pod uwagę masy - zmieniłyby się w takie, które biorą pod uwagę masę. W wyniku tego, uzwarcenie wymiarów stworzyłoby masę.
      Saudyjscy uczeni wiedzą też, w jaki sposób można skompaktyfikować wymiary grafenu. To bardzo proste zadanie. Wystarczy płachtę grafenu zwinąć w rurkę. Z punktu widzenia elektronów i dziur taka struktura będzie jednowymiarowa.
      Wywody Abdulaziza Alhaidariego są niezwykłe. Jeśli bowiem uczony ma rację, będzie to oznaczało, że generowanie czy niszczenie masy może odbywać się za pomocą zwykłej zmiany geometrii grafenu.
      Z dokumentem Dynamical mass generation via space compactification in graphene [PDF] można zapoznać się w sieci.
    • przez KopalniaWiedzy.pl
      Charlie Miller, który po raz kolejny wygrał konkurs Pwn2Own, a wcześniej zapowiedział ujawnienie 20 dziur w produktach Apple'a, stwierdził, że nie przekaże informacji o dziurach. Zamiast tego pokaże Apple'owi i innym firmom, w jaki sposób mogą znaleźć luki w swoich produktach.
      Już wcześniej Miller, który znalazł liczne niedociągnięcia używając techniki fuzzingu, mówił, że jest zdziwiony tym, iż tak łatwo na nie trafił. Stwierdził, że w produktach dużych firm, które zatrudniają olbrzymią liczbę ludzi w swoich wydziałach ds. bezpieczeństwa nie powinno być dziur, które jeden człowiek jest w stanie tak łatwo znaleźć. Tymczasem Miller użył zaledwie kilku linijek kodu dostarczającego do aplikacji błędnych danych, dzięki czemu doprowadzał do nieprawidłowości w ich działaniu, pozwalających na stwierdzenie, gdzie występują nieprawidłowości. W ten sposób szybko trafił na 20 luk w produktach Apple'a oraz luki w microsoftowym PowerPoincie, produkowanym przez Adobe Readerze oraz opensource'owym OpenOffice.
      Sprawa jest o tyle bulwersująca, że skądinąd wiadomo, iż koncerny korzystają z fuzzingu. Na pewno używał go Microsoft podczas całego cyklu rozwojowego swoich produktów (Security Development Lifecycle).
      Ludzie będą mnie krytykowali za to, że nie przekażę producentom informacji o błędach. Ale uważam, że bardziej rozsądnym jest im tego nie mówić. Mogę im powiedzieć, jak znaleźć luki. To może ich skłonić do działania - stwierdził Miller.
      Jedną ze znalezionych luk wykorzystał podczas ataku na Safari w czasie konkursu Pwn2Own.
    • przez KopalniaWiedzy.pl
      Microsoft obiecuje, że wraz z kolejnymi comiesięcznymi poprawkami będzie dostarczał więcej informacji na ich temat. Koncern z Redmond będzie informował o tym, jak bardzo niebezpieczna jest dana luka i których programów dotyczy.
      Obecnie użytkownicy dowiadują się jedynie o ogólnej liczbie dziur, a ocena zagrożenia podawana jest wyłącznie w przypadku najbardziej niebezpiecznych niedociągnięć.
      Firma zmieni swoją politykę, gdyż, jak podaje, takiej zmiany oczekują jej klienci. Dotychczas ograniczanie ilości informacji było tłumaczone przez Microsoft obawą przed ich wykorzystaniem przez twórców szkodliwego kodu.
      Informacje dotyczące przyszłych poprawek udostępniane są w czwartek poprzedzający wtorkową publikację zestawu łat.

    • przez KopalniaWiedzy.pl
      Ledwie dowiedzieliśmy się, że Polska będzie współorganizatorem Euro 2012, a już w serwisie Allegro pojawiły się koszulki z oficjalnym logo imprezy i napisem "Wygraliśmy EURO 2012”. Co ciekawe, ich producent zapewnia, że koszulki powstały w zgodzie z licencją UEFA i nie łamią jej praw.
      Koszulki są dostępne w rozmiarach S, M, L oraz XL. T-shirty firmy Fruit of the Loom wyprodukowano ze 100-procentowej bawełny, a do nadruków użyto technologii sitodruku. Sprzedawca twierdzi, że nadruk jest bardzo trwały, a cały proces produkcyjny – pieczołowicie nadzorowany. Co więcej, co 10. osoba na ostatecznej liście kupujących otrzyma koszulkę za darmo.
      Aukcja, na której wystawiono kilkadziesiąt koszulek kończy się 2 maja.
       
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...