Skrypty administracyjne Allegro pod lupą
kg 22-12-2006, 10:25
Łukasz Lach z serwisu Hacking.pl opisał wczoraj na czym polegały błędy w systemie aukcyjnym Allegro.pl i jak udało mu się je wykorzystać.
Cała sprawa opierała się na luce XSS (Cross-Site Scripting), w oparciu o którą istniała możliwość swobodnego manipulowania kodem źródłowym strony i treścią na niej zawartą - czytamy w Hacking.pl
Warto przypomnieć, że analiza kodu i znalezienie błędów zajęło Łukaszowi 3 minuty. Błędy te umożliwiały kradzież danych osobowych użytkowników Allegro - wystarczyło tylko by ofiara kliknęła w podstawiony jej odnośnik. Ponadto zdobywszy dane można było bezproblemowo wystawiać dowolne aukcje z konta ofiary.
Reakcja Allegro i poprawa systemu trwała - w odniesieniu do czasu znalezienia błędów - znacznie dłużej.
Szczegóły dotyczące znalezienia błędów oraz ich wykorzystania znajdziecie w serwisie Hacking.pl w artykule: Allegro pełne dziur! - jak to było?
Warto przypomnieć, że analiza kodu i znalezienie błędów zajęło Łukaszowi 3 minuty. Błędy te umożliwiały kradzież danych osobowych użytkowników Allegro - wystarczyło tylko by ofiara kliknęła w podstawiony jej odnośnik. Ponadto zdobywszy dane można było bezproblemowo wystawiać dowolne aukcje z konta ofiary.
Reakcja Allegro i poprawa systemu trwała - w odniesieniu do czasu znalezienia błędów - znacznie dłużej.
Szczegóły dotyczące znalezienia błędów oraz ich wykorzystania znajdziecie w serwisie Hacking.pl w artykule: Allegro pełne dziur! - jak to było?
Więcej w tym temacie:
- Prawie 3 miliony samochodów narażonych na cyberatak
- 12 godzin – tyle wystarczy, by złamać niemal każdy system informatyczny
- Firefox ma za słabe zabezpieczenia, by hakować go na Pwn2Own. Poważny błąd w Adobe Creative Cloud. Przegląd cyberbezpieczeństwa - 15.02.2016
- Specyficzne podejście polskich sądów do hackingu. Gmail informuje o braku szyfrowania po stronie adresata. Przegląd cyberbezpieczeństwa - 11.02.2016
Artykuł może zawierać linki partnerów, umożliwiające rozwój serwisu i dostarczanie darmowych treści.
Stopka:
© 1998-2025 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.