Δεν θα μπω σε πολλές λεπτομέρειες επειδή μπορεί κάποιος να χρησιμοποιήσει την παρακάτω δημοσίευση που εμφανίζει το XSS για να υποκλέψει προσωπικά δεδομένα χρηστών ή να προβεί και σε άλλες κακόβουλες ενέργειες, κάτι που απαγορεύεται ρητά από τους όρους χρήσης του iGuRu.gr. Οι διαχειριστές της ιστοσελίδας έχουν ενημερωθεί πριν τη δημοσιοποίηση αυτού του άρθρου, και μάλιστα ενήργησαν άμεσα αποδεικνύοντας ότι η ασφάλεια των χρηστών της είναι η υψηλότερη προτεραιότητά τους.
XSS Reflected στο Bestprice.gr
Με όλο τον σεβασμό προς την ομάδα του Bestprice. Η προστασία των χρηστών αλλά και του site είναι το κίνητρο και ο σκοπός μου.
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Η παρακάτω η εικόνα σε 4 απλά βήματα αναλύει την επίθεση. Ένα παραπλήσιο πρόβλημα υπάρχει και στην ιστοσελίδα του Bestprice. Μην υποτιμάτε τις ευπάθειες XSS. Αν το κάνετε τότε προφανώς δεν γνωρίζετε τα καταστροφικά αποτελέσματα που μπορεί να επιφέρει μια επίθεση.
π.χ.
- O κακόβουλος χρήστης μπορεί να κλέψει το Cookie της σύνδεσης και να συνδεθεί με τα δικά σας στοιχεία.
- Να μεταβάλλει την σελίδα π.χ Να δημιουργήσει ένα Popup παράθυρο ζητώντας να γράψετε το username,το password και να σας οδηγήσει εκεί.
- Να διαγράψει τον λογαριασμό σας.
Θα σας περιγράψω πως μπορεί να γίνει διαγραφή του λογαριασμού σας.
Περιγραφή της επίθεσης
- Ο Επιτιθέμενος βρίσκει το πρόβλημα στην ιστοσελίδα.
- Στέλνει ένα email με μία εικόνα σε εσάς.
- Μόλις δείτε τo email τότε εκτελείται ο κακόβουλος κώδικας από τον browser.
- Αν είστε ήδη συνδεδεμένος στο Bestprice τότε ο λογαριασμός σας διαγράφεται!!!
Περισσότερα
Τεχνική επίθεσης
Γνωρίζετε πως οι τεχνικές λεπτομέρειες θα είναι λιτές για μην εκτεθούν οι χρηστές και το Website.
Ο τρόπος εύρεσης και εκμετάλλευσης δεν είναι στάνταρ . Εγώ ακολούθησα τον παρακάτω τρόπο:
- Βρήκα το σημείο που έχει την αδυναμία
- Στέλνω spam mail.
- Στον κώδικα της σελίδας υπάρχει μια πληροφορία που είναι μοναδική για κάθε χρήστη.
- Επίσης ελέγχω αν ο χρήστης έχει κάνει login.
- Χρησιμοποίησα το localStorage του browser.
- Διέγραψα τα ίχνη από τον browser ύστερα από την επιτυχημένη επίθεση
Εικόνες από το PoC
Πληροφορίες
http://www.w3schools.com/Html/html5_webstorage.asp
Όπως προαναφέραμε, η ευπάθεια έχει γίνει ήδη γνωστή στο BestPrice.gr σύμφωνα με τους όρους χρήσης του iGuRu.gr που αναφέρουν:
- Η χρήση του iGuRu.gr και του περιεχομένου του γίνεται αποκλειστικά με ευθύνη του χρήστη. Επομένως το iGuRu.gr δεν φέρει καμία ευθύνη για τυχόν καθυστερήσεις, αποτυχίες, διακοπές, ή φθορές οποιονδήποτε δεδομένων ή πληροφοριών σχετίζονται με την ιστοσελίδα του.
- Το iGuru.gr δεν φέρει καμία ευθύνη για την δημοσίευση λογισμικού εξουδετέρωσης προστασίας, αναφορές παράνομης απόκτησης προστατευμένου περιεχόμενου, η δημοσιεύσεις ευπαθειών κάποιας ιστοσελίδας – υπηρεσίας.. Η δημόσια έκθεση τέτοιων πληροφοριών ή τμημάτων αυτών θα γίνεται εφόσον έχει ενημερωθεί το άμεσα ενδιαφερόμενο τρίτο μέρος και με τέτοιο τρόπο που δεν θα βάζουν σε άμεσο κίνδυνο την ιστοσελίδα-υπηρεσία.