Onet łata swoją pocztę

20-05-2009, 18:53

Czytelnik Dziennika Internautów, używający pseudonimu Alladyn, poinformował nas o błędzie XSS (cross-site scripting) w serwisie pocztowym Onet.pl. Istnienie luki potwierdził współpracujący z DI ekspert.

Przykład wykorzystania luki
fot. DI - Przykład wykorzystania luki
W liście do redakcji Czytelnik napisał: może państwa zainteresuje błąd typu XSS na stronie poczta.onet.pl. Kod JavaScript można wykonać po przesłaniu maila do ofiary z kodem umieszczonym w polu "from". Ofiara po zalogowaniu się do swojej poczty przez stronę poczta.onet.pl nie zobaczy nic nietypowego, ale skrypt wykona się bez dodatkowej interakcji. 

Przykład wykorzystania luki
fot. DI - Przykład wykorzystania luki
Luka została przetestowana w przeglądarce Firefox 3. Jej odkrywca założył konto w serwisie pocztowym Onet.pl, gdzie umieścił gotowy e-mail z kodem XSS. Przykłady wykorzystania błędu można zobaczyć na zrzutach ekranu po prawej stronie.

Zaprezentowany sposób ataku polega na osadzeniu w treści atakowanej strony kodu, który może doprowadzić do wykonania przez jej użytkownika niepożądanych akcji. Kod ten tworzony jest zwykle przy użyciu JavaScriptu, ale równie dobrze mogą do tego celu posłużyć inne technologie wykonywane po stronie klienta: Ajax, VBScript albo Flash.

Cross-site scripting pozwala m.in. na wykradanie wartości przechowywanych w ciasteczkach (ang. cookies). Jest to, obok iniekcji kodu SQL, jeden z najbardziej rozpowszechnionych ataków na aplikacje bazodanowe działające w sieci. Możliwość jego zastosowania w serwisie pocztowym Onet.pl potwierdził dla Dziennika Internautów konsultant ds. bezpieczeństwa Piotr Konieczny.

Komentując znaleziony błąd, ekspert powiedział: Programiści Onetu popełnili powszechny i najbardziej podstawowy błąd - w niektórych miejscach zapomnieli o filtrowaniu danych przekazywanych do webaplikacji przez użytkowników. Zdarza się każdemu - podobny błąd znajdował się parę lat temu w polu SUBJECT w Gmailu - poczcie od Google.

Czytelnik nie poinformował o swoim odkryciu administratorów Onet.pl, pozostawiając to nam. Na zgłoszenie Dziennika Internautów zareagował rzecznik prasowy portalu Paweł Klimiuk, który odpisał: Istnienie tej luki potwierdził nasz wczorajszy audyt. Należy ona do tzw. średniej kategorii błędów. W chwili pisania tego tekstu błąd był już usunięty, co potwierdziliśmy, logując się na testowane konto i otwierając spreparowany wcześniej e-mail.

Walka z błędami w oprogramowaniu przypomina walkę z wirusami i innymi zagrożeniami obecnymi w internecie - jest wyścigiem informatyków stojących po dwóch stronach wirtualnej barykady. Najważniejsze z punktu widzenia end-usera jest to, że w efekcie tego wyścigu do wykrywania i usuwania błędów w oprogramowaniu znacznie poprawia się bezpieczeństwo korzystania z internetu - skomentował zaistniałą sytuację Paweł Klimiuk, przy okazji odnotowując, że użytkownikom bezpłatnych kont pocztowych Onet.pl udostępnił ostatnio znany z kont płatnych system szyfrowania SSL.


Źródło: DI24.pl
Tematy pokrewne:  

tag XSStag Onettag lukitag konta pocztowetag cross-site scripting
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2020»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
30