Skrypty administracyjne Allegro pod lupą
Łukasz Lach z serwisu Hacking.pl opisał wczoraj na czym polegały błędy w systemie aukcyjnym Allegro.pl i jak udało mu się je wykorzystać.
Cała sprawa opierała się na luce XSS (Cross-Site Scripting), w oparciu o którą istniała możliwość swobodnego manipulowania kodem źródłowym strony i treścią na niej zawartą - czytamy w Hacking.pl
Warto przypomnieć, że analiza kodu i znalezienie błędów zajęło Łukaszowi 3 minuty. Błędy te umożliwiały kradzież danych osobowych użytkowników Allegro - wystarczyło tylko by ofiara kliknęła w podstawiony jej odnośnik. Ponadto zdobywszy dane można było bezproblemowo wystawiać dowolne aukcje z konta ofiary.
Reakcja Allegro i poprawa systemu trwała - w odniesieniu do czasu znalezienia błędów - znacznie dłużej.
Szczegóły dotyczące znalezienia błędów oraz ich wykorzystania znajdziecie w serwisie Hacking.pl w artykule: Allegro pełne dziur! - jak to było?