Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

"Znalezienie kilku bardzo poważnych błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty, wliczając czasy ładowania się dokumentów HTML i grafik" pisze Łukasz Lach w serwisie Hacking.pl i prezentuje dokumentację możliwości, jakie platforma "oferuje" atakującemu.

Według redaktora Hacking.pl poziom bezpieczeństwa tego największego w Polsce serwisu aukcyjnego jest bardzo niski. System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation - ujawnia z kolei serwis ITBiznes.pl

Odkryte przez Hacking błędy umożliwiają kradzież wszystkich danych osobowych (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. Co istotne, nie trudno jest również dostać się do danych związanych z sesją - pisze Hacking.pl, co z kolei umożliwia - z pozycji zaatakowanego - przeglądanie części administracyjnej Allegro.

Łukasz Lach zwraca też uwagę na pozytywną sprawę, jaką jest prośba o podanie nazwy użytkownika i hasła przed każdą kluczową operacją na Allegro. Jednak w przypadku kradzieży danych powyższe zabezpieczenie nie okaże się jednak skuteczne. Tym bardziej, że już przy wystawianiu aukcji system nie pyta o potwierdzenie danych wystawiającego, dzięki czemu wykorzystując powyższe błędy atakujący ma praktycznie pełne pole do popisu.

Allegro nie odpowiedziało na dwa e-maile z informacją o błędach wysłane do nich przez serwis Hacking.pl. Jednak z doniesień serwisu ITBiznes wynika, że informacje te dotarły już do specjalistów z platformy aukcyjnej, którzy weryfikują doniesienia.

Galerię zrzutów z dowodami i szczegółowy opis sprawy znajdziecie w serwisie Hacking.pl

Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *