Poważne zagrożenie na Naszej-Klasie: nie otwieraj linków

Nasz czytelnik, posługujący się pseudonimem Devnul, przysłał nam informację o znalezionej przez siebie usterce w popularnym serwisie społecznościowym nasza-klasa.pl. Komunikat dotyczący tej luki pojawił się też wcześniej w serwisie hack.pl.

Poważne zagrożenie na Naszej-Klasie: nie otwieraj linków
Źródło zdjęć: © nasza-klasa

08.04.2009 | aktual.: 10.04.2009 16:11

Obraz

Problem

Przyczyną problemu jest skrypt /hitcount/2. służący najprawdopodobniej do zliczania odwiedzin w ramach któregoś z programów partnerskich. Przekazując mu odpowiedni parametr u, użytkownik jest w stanie zmusić aplikację do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.

Zagrożenie

Znaleziona usterka pozwala wprowadzić użytkownika w błąd przez wysłanie mu odnośnika prowadzącego rzekomo do zasobu zlokalizowanego w serwisie nasza-klasa.pl. Dzięki temu potencjalny napastnik jest w stanie pomóc sobie w dokonywaniu ataków CSRF i XSS. Obawiać powinni się przede wszystkim właściciele aktywnych urządzeń sieciowych wyposażonych w interfejs WWW, ponieważ otrzymany link może prowadzić do sekcji zmieniającej ustawienia. Przykład odnośnika: http://www.nasza-klasa.pl/hitcount/2f?u=http:%2f%2heise-security.pl

Intruz, wykorzystując otwarte przekierowanie, mógłby pokusić się o stworzenie skryptu JavaScript, który przy użyciu obiektowego modelu dokumentu (DOM) odczytywałby umieszczone w kodzie strony tokeny autoryzujące i automatycznie wykonywał pewne czynności w imieniu użytkownika. Jednak uniemożliwiają to umieszczone w serwisie zabezpieczenia polegające na przeładowywaniu dokumentu macierzystego z poziomu skryptu w ramce.

Ochrona

Do czasu usunięcia usterki nie należy otwierać linków o podejrzanie wyglądającej treści, które rozpoczynają się adresem http://nasza-klasa.pl/. W przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

Aktualizacja (10-04-2009 15:09)

Wyeliminowano znaleziony w serwisie nasza-klasa.pl błąd pozwalający na tworzenie spreparowanych odnośników prowadzących do dowolnej lokalizacji. Programiści serwisu usunęli otwarty redirect i opisywana luka została zamknięta. Należy jednak pamiętać, iż w przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Komentarze (155)