Hacking: Allegro pełne dziur!

19-12-2006, 20:27

"Znalezienie kilku bardzo poważnych błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty, wliczając czasy ładowania się dokumentów HTML i grafik" pisze Łukasz Lach w serwisie Hacking.pl i prezentuje dokumentację możliwości, jakie platforma "oferuje" atakującemu.

Według redaktora Hacking.pl poziom bezpieczeństwa tego największego w Polsce serwisu aukcyjnego jest bardzo niski. System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation - ujawnia z kolei serwis ITBiznes.pl

Odkryte przez Hacking błędy umożliwiają kradzież wszystkich danych osobowych (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. Co istotne, nie trudno jest również dostać się do danych związanych z sesją - pisze Hacking.pl, co z kolei umożliwia - z pozycji zaatakowanego - przeglądanie części administracyjnej Allegro.

Łukasz Lach zwraca też uwagę na pozytywną sprawę, jaką jest prośba o podanie nazwy użytkownika i hasła przed każdą kluczową operacją na Allegro. Jednak w przypadku kradzieży danych powyższe zabezpieczenie nie okaże się jednak skuteczne. Tym bardziej, że już przy wystawianiu aukcji system nie pyta o potwierdzenie danych wystawiającego, dzięki czemu wykorzystując powyższe błędy atakujący ma praktycznie pełne pole do popisu.

Allegro nie odpowiedziało na dwa e-maile z informacją o błędach wysłane do nich przez serwis Hacking.pl. Jednak z doniesień serwisu ITBiznes wynika, że informacje te dotarły już do specjalistów z platformy aukcyjnej, którzy weryfikują doniesienia.

Galerię zrzutów z dowodami i szczegółowy opis sprawy znajdziecie w serwisie Hacking.pl

Źródło: Hacking.pl, ITBiznes.pl
Tematy pokrewne:  

tag kradzież danychtag błędytag Allegro
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2020»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
282930