Hacking: Allegro pełne dziur!
"Znalezienie kilku bardzo poważnych błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty, wliczając czasy ładowania się dokumentów HTML i grafik" pisze Łukasz Lach w serwisie Hacking.pl i prezentuje dokumentację możliwości, jakie platforma "oferuje" atakującemu.
reklama
Według redaktora Hacking.pl poziom bezpieczeństwa tego największego w Polsce serwisu aukcyjnego jest bardzo niski. System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation - ujawnia z kolei serwis ITBiznes.pl
Odkryte przez Hacking błędy umożliwiają kradzież wszystkich danych osobowych (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. Co istotne, nie trudno jest również dostać się do danych związanych z sesją - pisze Hacking.pl, co z kolei umożliwia - z pozycji zaatakowanego - przeglądanie części administracyjnej Allegro.
Łukasz Lach zwraca też uwagę na pozytywną sprawę, jaką jest prośba o podanie nazwy użytkownika i hasła przed każdą kluczową operacją na Allegro. Jednak w przypadku kradzieży danych powyższe zabezpieczenie nie okaże się jednak skuteczne. Tym bardziej, że już przy wystawianiu aukcji system nie pyta o potwierdzenie danych wystawiającego, dzięki czemu wykorzystując powyższe błędy atakujący ma praktycznie pełne pole do popisu.
Allegro nie odpowiedziało na dwa e-maile z informacją o błędach wysłane do nich przez serwis Hacking.pl. Jednak z doniesień serwisu ITBiznes wynika, że informacje te dotarły już do specjalistów z platformy aukcyjnej, którzy weryfikują doniesienia.
Galerię zrzutów z dowodami i szczegółowy opis sprawy znajdziecie w serwisie Hacking.pl