Poważne zagrożenie na Naszej-Klasie: nie otwieraj linków

Nasz czytelnik, posługujący się pseudonimem Devnul, przysłał nam informację o znalezionej przez siebie usterce w popularnym serwisie społecznościowym nasza-klasa.pl. Komunikat dotyczący tej luki pojawił się też wcześniej w serwisie hack.pl.

Poważne zagrożenie na Naszej-Klasie: nie otwieraj linków
Źródło zdjęć: © nasza-klasa
Obraz

Problem

Przyczyną problemu jest skrypt /hitcount/2. służący najprawdopodobniej do zliczania odwiedzin w ramach któregoś z programów partnerskich. Przekazując mu odpowiedni parametr u, użytkownik jest w stanie zmusić aplikację do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.

Zagrożenie

Znaleziona usterka pozwala wprowadzić użytkownika w błąd przez wysłanie mu odnośnika prowadzącego rzekomo do zasobu zlokalizowanego w serwisie nasza-klasa.pl. Dzięki temu potencjalny napastnik jest w stanie pomóc sobie w dokonywaniu ataków CSRF i XSS. Obawiać powinni się przede wszystkim właściciele aktywnych urządzeń sieciowych wyposażonych w interfejs WWW, ponieważ otrzymany link może prowadzić do sekcji zmieniającej ustawienia. Przykład odnośnika: http://www.nasza-klasa.pl/hitcount/2f?u=http:%2f%2heise-security.pl

Intruz, wykorzystując otwarte przekierowanie, mógłby pokusić się o stworzenie skryptu JavaScript, który przy użyciu obiektowego modelu dokumentu (DOM) odczytywałby umieszczone w kodzie strony tokeny autoryzujące i automatycznie wykonywał pewne czynności w imieniu użytkownika. Jednak uniemożliwiają to umieszczone w serwisie zabezpieczenia polegające na przeładowywaniu dokumentu macierzystego z poziomu skryptu w ramce.

Ochrona

Do czasu usunięcia usterki nie należy otwierać linków o podejrzanie wyglądającej treści, które rozpoczynają się adresem http://nasza-klasa.pl/. W przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

Aktualizacja (10-04-2009 15:09)

Wyeliminowano znaleziony w serwisie nasza-klasa.pl błąd pozwalający na tworzenie spreparowanych odnośników prowadzących do dowolnej lokalizacji. Programiści serwisu usunęli otwarty redirect i opisywana luka została zamknięta. Należy jednak pamiętać, iż w przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie

Analizy potwierdzają: Bełchatów gotowy na elektrownię jądrową
Analizy potwierdzają: Bełchatów gotowy na elektrownię jądrową
Abramsy w stolicy. Dotarły pod osłoną nocy
Abramsy w stolicy. Dotarły pod osłoną nocy
Bombowce strategiczne B-1B Lancer jeszcze groźniejsze. To latający arsenał
Bombowce strategiczne B-1B Lancer jeszcze groźniejsze. To latający arsenał
Odkryto drewniane narzędzia. Pochodzą sprzed 300 tys. lat
Odkryto drewniane narzędzia. Pochodzą sprzed 300 tys. lat
Ukraina dostaje ich tysiące. Teraz testują je militarne potęgi Europy
Ukraina dostaje ich tysiące. Teraz testują je militarne potęgi Europy
Rosjanie boją się tej broni. Mocarstwo wznawia jej produkcję po 15 latach
Rosjanie boją się tej broni. Mocarstwo wznawia jej produkcję po 15 latach
Zidentyfikowano najbliższego przodka T. rexa. To "książę smoków"
Zidentyfikowano najbliższego przodka T. rexa. To "książę smoków"
Ma 2 miliardy lat świetlnych średnicy. Droga Mleczna znajduje się w pustce
Ma 2 miliardy lat świetlnych średnicy. Droga Mleczna znajduje się w pustce
Bruksela zdecydowała. Rekordowe zakupy dla armii
Bruksela zdecydowała. Rekordowe zakupy dla armii
Oddali Ukrainie wszystkie czołgi. Już wiedzą, co teraz zrobią
Oddali Ukrainie wszystkie czołgi. Już wiedzą, co teraz zrobią
Nowe neurony powstają też w mózgu dorosłego człowieka. Są dowody
Nowe neurony powstają też w mózgu dorosłego człowieka. Są dowody
OnePlus Nord 5. Czy spełni nasze oczekiwania?
OnePlus Nord 5. Czy spełni nasze oczekiwania?