Allegro: Dziura wraca w nowym wydaniu - AKTUALIZACJA
W lipcu pisaliśmy w DI o dziurze bezpieczeństwa w Allegro, która pozwalała na podmianę dowolnego elementu aukcji innym, np. na podmianę linku do panelu użytkownika na dowolny własny odnośnik. Luka została załatana, jednak odkryto kolejną, przynoszącą identyczne zagrożenie.
reklama
Nową dziurę odkrył i opisał na swojej stronie Piotr "Artveb" Podeszwik. Przy użyciu odkrytej techniki udało mu się zmienić na aukcji dosłownie wszystko - od odnośników, przez nick sprzedawcy, liczbę jego komentarzy, po licznik wyświetleń licytacji. Aukcja została z serwisu usunięta, można ją jednak obejrzeć w archiwizatorze aukcyjnym.
Piotr "Artveb" Podeszwik twierdzi, iż zgłosił sprawę administratorom Allegro we wtorek rano. Przed godziną 18.00 uzyskałem od rzecznika Allegro, Bartka Szambelana, zapewnienie, że luka została usunięta. Jednocześnie stwierdził, iż Allegro żadnych sygnałów od odkrywcy luki nie otrzymało.
Tymczasem problem został usunięty tylko częściowo. Jak pisze Piotr na swojej stronie, istnieje kilka sposobów na podmianę zawartości strony z aukcją. Administratorzy platformy usunęli tylko jedną z możliwości i około godziny 20.00 pojawiła się na Allegro kolejna aukcja demonstrująca kolejną lukę bezpieczeństwa. Podobnie jak pierwsza szybko została usunięta, wcześniej jednak aukcjonerzy dodali ją do archiwizatora.
Na razie nie posiadamy informacji, czy po drugiej demonstracji Allegro zajęło się sprawą dokładniej. Warto jednak zauważyć, że programiści tej platformy szybko zareagowali na zgłoszony problem. Liczymy na to, iż równie szybko usunięte zostaną pozostałe warianty dziury.
AKTUALIZACJA 15.08.07
Jak się okazało po ujawnieniu drugiego wariantu luki odkrytej przez Piotra administratorzy Allegro ponownie usunęli nie cały problem, a jedynie pojedynczy wariant luki. Kolejną modyfikację tej samej metody można zobaczyć na aukcji wystawionej dzisiaj o godzinie 9.47 (na aukcji podmieniono również godzinę wystawienia, prawdziwą można zobaczyć po wyłączeniu stylów), zobacz kopię w archiwizatorze.