Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Nowe dziury w Allegro - możliwe korzystanie z cudzego konta

09-07-2007, 21:36

W zeszłym tygodniu informowaliśmy o wykryciu w Allegro luki bezpieczeństwa pozwalającej na podmienienie znajdujących się na stronie odnośników. Allegro częściowo pozbyło sie problemu, jednak w międzyczasie pojawił się nowy.

robot sprzątający

reklama


Pierwszej luka wykorzystywała możliwość pozycjonowania znajdujących się na stronie elementów za pomocą atrybutów CSS. W piątek pracownicy Allegro zdołali częściowo usunąć problem - w wyniku podjętych działań nie można już podmieniać stałych elementów strony za pomocą atrybutu position: absolute, mimo, iż nadal można wykorzystywać go w opisie aukcji.

Jak jednak dość szybko zauważył Paweł "Krejd" Węgrzyn, który niedawno prezentował lukę - rozwiązanie okazało się niepełne. Nadal istnieje bowiem możliwość wykorzystania luki w nieco zmodyfikowanej formie - za pomocą atrybutu position: fixed. Co prawda po zastosowaniu tej metody osoby przewijające stronę aukcji za pomocą suwaka przeglądarki nie dostaną się do właściwego opisu (fragment strony objęty tym znacznikiem pozostanie w jednym miejscu ekranu), ale jeśli ktoś będzie przemieszczał się po aukcji za pomocą rolki myszy, może odnieść wrażenie, że aukcja jest zupełnie "normalna".

Jednocześnie jak zauważa Jacek Z. Strzembkowski z serwisu Aukcje.org, nawet niezmodyfikowaną wersję luki można wykorzystać na stronach starej kafejki Allegro.

Więcej luk

Na tym jednak nie koniec. Pod koniec ubiegłego tygodnia jeden z bloggerów, Adriano, zauważył inne luki bezpieczeństwa. Jak się okazuje możliwe jest zmylenie algorytmów, za pomocą których Allegro interpretuje kod HTML/CSS aukcji. Dzięki temu można wykorzystać znaczniki CSS i HTML spoza dozwolonej przez Allegro listy. Za pomocą odkrytych luk można między innymi wstawić na aukcję skrypty JavaScript czy obiekty flash (przykład w archiwizatorze aukcyjnym).

Jak groźne są nowo odkryte błędy zauważył na swojej stornie Paweł "Krejd" Węgrzyn. Okazuje się bowiem, iż za pomocą dziur odkrytych przez Adriano można wyjątkowo łatwo manipulować cudzym kontem. Wystarczy, że dana osoba będzie zalogowana i wyświetli odpowiednio spreparowaną aukcję, nie musząc nawet na nic klikać w jej obrębie!

Co na to Allegro

Rzecznik Allegro, Bartek Szambelan, zapewnił, iż trwają prace nad wyeliminowaniem zagrożenia. Twierdzi też, iż po odkryciu pierwszej z omawianych luk, na stronie komunikatów Allegro znajdowała się informacja na temat zagrożenia. Obecnie jednak, po wykryciu, iż zastosowane zabezpieczenie jest niepełne i ujawnieniu kolejnych luk, informacji takiej nie widać, a użytkownicy serwisu o konieczności zachowania ostrożności dowiadują się z forów, blogów, grup dyskusyjnych i informacji umieszczanych na stronach typu Wykop.pl.

Tymczasem Jacek Z. Strzembkowski zauważa, iż serwisy takie jak Allegro mają obowiązek ostrzeżenia swoich użytkowników o zaistniałym zagrożeniu. Wskazuje przy tym na ustawę o świadczeniu usług drogą elektroniczną:

Art. 6. Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:
1) szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną,


Jacek Z. Strzembkowski przypomina też, że obowiązek odpowiedniego zabezpieczenia danych osobowych wynika z ustawy o ochronie danych osobowych

Świstak, eBay

Te dwa serwisy dotknięte są tylko pierwszą z wymienionych dziur bezpieczeństwa. W przypadku Świstaka trudno określić kiedy problem z użyciem atrybuty CSS position zostanie usunięty, jak jednak zapewniają pracownicy serwisu - "na pewno nie później niż w ciągu najbliższych 3 miesięcy" (sic! miejmy nadzieję, że jednak dużo wcześniej).

Jeśli chodzi o eBay - stanowisko tej platformy ma zostać przesłane do redakcji DI we wtorek, 10 lipca br.

Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              



Ostatnie artykuły:

fot. DALL-E



fot. DALL-E



fot. Freepik



fot. DALL-E



fot. DALL-E



fot. DALL-E


Tematy pokrewne:  

tag phishingtag handeltag bezpieczeństwotag aukcje