Nasza-Klasa: następna luka typu XSS

12-10-2009, 13:02

Można dojść do wniosku, że kodu pisanego przez programistów Naszej-Klasy, mającego poszerzać funkcjonalność serwisu, nikt nie sprawdza - napisał do redakcji Dziennika Internautów jeden z Czytelników, który znalazł błąd typu XSS w module pozwalającym na podarowanie Eurogąbek. Problem został już usunięty.

Nasza-Klasa w lipcu br. mogła pochwalić się zasięgiem wynoszącym 69,72% (ponad 11,6 mln real users). W rankingu Megapanel PBI/Gemius obrazującym miesięczną liczbę odsłon grup witryn i witryn niezgrupowanych nikomu nie udało się jej wyprzedzić. Największy polski serwis społecznościowy przyciąga nie tylko amatorów odnawiania starych znajomości, ale też poszukiwaczy różnego rodzaju luk.

Rok temu jeden z Czytelników Dziennika Internautów przedstawił nam szczegółowy opis ataku z wykorzystaniem ciasteczek (ang. cookies). Kilka miesięcy później Marcin Wyczechowski wykrył możliwość przeprowadzenia ataku XSS (ang. cross-site scripting) przy użyciu nowo zaimplementowanego modułu wyszukiwania. Obie luki zostały załatane. Pojawiły się jednak nowe.

Nasza-Klasa: zrzut ekranu obrazujący wykorzystanie luki
fot. DI - Nasza-Klasa: zrzut ekranu obrazujący wykorzystanie luki
Pod koniec czerwca Nasza-Klasa wprowadziła własną walutę - Eurogąbki. Poszerzając funkcjonalność serwisu, programiści kolejny raz nie ustrzegli się błędów. Tym razem również chodzi o błąd XSS, a konkretnie o moduł "podarowania Eurogąbek" - poinformował redakcję Dziennika Internautów Marcin Wyczechowski. Zamieszczone obok zrzuty ekranu, wykonane 10.10.2009, obrazują wykorzystanie znalezionej podatności.

Nasza-Klasa: zrzut ekranu obrazujący wykorzystanie luki
fot. DI - Nasza-Klasa: zrzut ekranu obrazujący wykorzystanie luki
Programiści Naszej-Klasy powzięli jednak kilka kroków bezpieczeństwa, umieszczając wpisywany tekst w znaczniku textarea, ale można z niego w banalny sposób wyjść, a następnie wykonać złośliwy kod - zauważył Wyczechowski. - Inną dodatkową rzeczą, jaką wykonali, i to na plus, jest brak możliwości wykonania CSRF-a (ang. cross-site request forgery), co uniemożliwia atakującemu stworzenie formularza, który automatycznie korzystałby z omawianej luki.

Nie umniejsza to jednak wagi problemu. Mam nadzieję, że programiści tak popularnego w Polsce portalu społecznościowego będą mieli na uwadze fakt, iż każdy oficjalny release nowego produktu powinien przejść chociaż przez najprostsze skanery tego typu błędów, gdyż można dojść czasem do wniosku, że nikt tworzonych kodów w ogóle nie sprawdza - napisał odkrywca luki.

Dziennik Internautów przesłał informacje o błędzie obsłudze Naszej-Klasy. Dominik Kaznowski, pełnomocnik zarządu ds. marketingu i PR, podziękował za zgłoszenie i poinformował redakcję, że problem został już usunięty. Obecnie ustalamy, dlaczego informacja przesłana przez internautę nie trafiła do odpowiedniego działu NK. Błąd powstał prawdopodobnie podczas wgrywania kolejnej aktualizacji systemu - napisał Kaznowski.


Źródło: DI24.pl
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy