Minął rok, od kiedy Interia została po raz pierwszy poinformowana przez Marka Futregę o lukach w systemie pocztowym portalu. Sprawa do tej pory pozostaje niezałatwiona, podczas gdy konkurencyjne portale potrafiły poradzić sobie z problemem nawet w jeden dzień. Tymczasem błędy w poczcie Interii umożliwiają przeprowadzenie naprawdę niebezpiecznych ataków, łącznie z kradzieżą danych - wszystko zależy tylko od wyobraźni atakującego.
Jak pisze na swoim
blogu Marek Futrega na stronach poczty elektronicznej portalu Interia znajduje się kilka luk typu
XSS.
Zagrożeni są użytkownicy kont tego portalu, sprawdzający pocztę przy pomocy przeglądarki Internet Explorer Microsoftu.
Wspomniane luki umożliwiają wykonanie dowolnego kodu JavaScript u użytkownika systemu Interii. Wystarczy by otworzył w przeglądarce IE
odpowiednio przygotowany e-mail, dzięki któremu atakujący może m.in. wykraść cookies użytkownika poczty Interii, skasować jego pocztę z serwera, wysłać ją innym osobom, przekierować na dowolną stronę, poprosić o powtórne wprowadzenie hasła celem wykradnięcia itp. - pisze Marek Futrega.
Interia miała sporo czasu na załatanie luk. Pierwsze powiadomienie zostało wysłane 16 stycznia 2006 roku, drugie pół roku później. Co ciekawe - jak informuje Futrega - pracownicy Interii potwierdzili w obydwu przypadkach przyjęcie zgłoszeń i... na tym poprzestali. Nic nie zrobiono nawet po ostrzeżeniu, które Marek Futrega wysłał do Interii dwa tygodnie temu, w którym poinformował, że po 16 stycznia ujawni informacje o lukach w systemie pocztowym tego portalu, bez czekania na ich usunięcie.
Jeszcze ciekawszy może wydawać się fakt, że luki te dotyczyły także systemów pocztowych innych polskich portali oraz polskich firm oferujących konta poczty elektronicznej. Te jednak poważnie podeszły do zgłoszenia i załatały dziury - portal Onet potrzebował na to 1 dnia, pozostałe od kilku dni do kilku tygodni.
Podatność
poczty Interii na wspomniane luki można sprawdzić wysyłając e-mail testowy za pomocą
formularza przygotowanego przez Marka Futregę. Nastepnie należy wejść na skrzynkę pocztową na Interii przy pomocy przeglądarki Internet Explorer i otworzyć e-mail zatytułowany:
xss test v.2006-01-16. Potem już trudno zamknąć przeglądarkę (przynajmniej IE7) w standardowy sposób ;-)
Testy przeprowadzone przez redakcję DI w przeglądarce Firefox i Opera nie zakończyły się tak dramatycznie, jak w przypadku Internet Explorera.
Szczegóły na
blogu Marka Futregi - stek.
XSS 
Poprzedni
Pobieranie danych...
