Start arrow Ze świata aukcji arrow Allegro.pl arrow Hacking.pl: Dziurawe Allegro
allegro ebay swistak aukcje24 kiermasz
Menu główne
Start
Ze świata aukcji
Szukaj
Jak liczymy
Poradnik aukcjonera
Księgarnia internetowa
STATYSTYKI
Gościmy
On-line: 19 gości (1067)
Hacking.pl: Dziurawe Allegro PDF Drukuj Email
18.12.2006.
Allegro jest największym polskim serwisem aukcyjnym, którego codziennie używają tysiące osób sprzedając i kupując rozmaite przedmioty. Każda z tych akcji wymaga zalogowania się do części "Moje Allegro" której, jak się okazało, poziom bezpieczeństwa jest równy zeru, a co jednocześnie nie za bardzo interesuje pracowników Allegro, bo pomimo wysłania dwóch maili z konkretnymi przykładami ataków pozostały one bez odzewu.

Znalezienie kilku błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty wliczając czasy ładowania się dokumentów HTML i grafik.

Błędy te są bardzo poważne, o czym może świadczyć fakt, że osoba atakująca, z pomocą spreparowanego adresu URL, może bez większego trudu wykraść wszystkie dane osobowe (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd.

Można także bez większego problemu dostać się do danych związanych z sesją, aby, po ustawieniu identycznych wartości u siebie, przeglądać część administracyjną już jako zaatakowana osoba.

Plusem systemu Allegro jest fakt, że przed wykonaniem kluczowych operacji pyta o nazwę użytkownika i hasło (co traci sens, jeśli da się je wykraść, ale zawsze).

Jednak, co ciekawe, wystawienie nowej aukcji nie należy do tej grupy akcji i podczas próby ataku można swobodnie wystawić aukcję w dowolnej kategorii, o dowolnym tytule, opisie i kwocie kupna, której właścicielem będzie atakowana osoba.

Spreparowany adres URL można oczywiście przepuścić najpierw przez jeden z wielu serwisów służących do generowania krótszych adresów, umieścić go w ukrytym IFRAME pod dowolną domeną lub wewnątrz wiadomości e-mail, co praktycznie uniemożliwia skuteczne wykrycie ataku.

Całość sprowadza się do tego, że nie tylko panel administracyjny Allegro jest podatny na takie ataki jak XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, a w konsekwencji i na RCSR oraz Session Riding, ale również o to, że ignorancja pracowników Allegro może przekształcić się w spory problem dla niczego nieświadomych użytkowników.


źródło: hacking.pl Łukasz Lach

Liczba komentarzy (0) - Dodaj komentarz do artykułu:

 
« poprzedni artykuł   następny artykuł »
WSTECZ
komentarze

Jeszcze nie ma komentarzy...


Strona 1 z 0
Dodaj komentarz do artykułu: Hacking.pl: Dziurawe Allegro

Twój e-mail nie będzie wyświetlany na stronie
Top!
© 2001 - 2012 AUKCJEPL.INFO allegro ebay
 Top!