December 20th, 2006 by depesz | | 9 comments »
Did it help? If yes - maybe you can help me?

heh. wszyscy o tym piszą, to i ja napiszę. a co 🙂
wczoraj o 1 w nocy (czyli z przedwczoraj na wczoraj) serwis hacking.pl zamieścił informację, że allegro jest dziurawe i przejęcie uprawnień jest trywialne. co za tym idzie można wystawiać innym aukcje, podejrzeć dane i sporo innych "zabawnych" rzeczy.
padła też informacja, że allegro było powiadamiane dwukrotnie o problemach i sprawę zignorowało.
o 16, 15 godzin później serwis allegro wystawił informację, że w nocy ze środy na czwartek będzie przerwa konserwacyjna. powodu nie podano. informacja ta została skomentowana na stronach hacking.pl wraz z cytatami komentarzy użytkowników allegro 🙂
dziś koło 16 hacking wystawił kolejną informację – mianowicie dostali odpowiedź od allegro. odpowiedź oczywiście pełna standardowego pr'owego bajdurzenia (wypunktowanego ładnie przez rafała pawlaka z hacking.pl). w/g allegro przerwa w nocy nie ma nic wspólnego z zgłoszonymi problemami, a w ogóle to sprawa jest wyolbrzymiona.
sprawa obiła się też o onet, gazeta.pl, itbiznes.pl i pewnie z 100000 innych miejsc.
czemu więc o tym piszę?
bo po raz kolejny widzę w kolejnej dużej firmie brak zwykłej odwagi by powiedzieć wprost: tak, daliśmy ciała, już poprawiamy, dziękujemy za zwrócenie uwagi i postaramy się by się nie powtarzało.
allegro niby to mówi, ale ubiera to w jakieś cuda typu: tak, nie zareagowaliśmy na maila bo cośtam, dziury nie są takie straszne bo cośtam itd.
czemu nikt nie ma odwagi po prostu jasno i krótko przyznać się do błędu, poprawić go, i o sprawie zapomnieć?

  1. 9 comments

  2. # sg
    Dec 20, 2006

    Coś mi się wydaje że to wygląda na standardowy problem amatorszczyzny: nie ważne ile firma zarabia, ale zatrudnienie profesjonalisty za więcej niż 2000 brutto miesięcznie nie wchodzi w grę.
    W rezultacie większość dużych projektów jest robiona przez studentów no i potem mamy tego efekty.

  3. Dec 20, 2006

    Napisałem też trochę o tym w swoim blogu:
    http://www.jakubiak.eu/2006/12/dlaczego-ataki-xss-s-badzo-grone.html
    http://www.jakubiak.eu/2006/12/kamliwe-sprostowania-allegro.html
    http://www.jakubiak.eu/2006/12/bdy-w-allegro.html

  4. # AB
    Dec 20, 2006

    A ja jednak trzymam strone allegro – wielokrotnie spokałem się z amatorszczyzną po stronie “dziennikarzy” z hacking.pl – dla mnie ten portal cuchnie dziennikiem “fakt” – tyle samo w tym bezstronności i wiarygodności.
    To co napisali i pokazali fakt – wskazywało na to że można wrzucić skrypt javascript ale już nic nie było o tym “jak wyciągać hasło” – czyli ogólnie dla mnie tania ściema. Z tymi “powiadomieniami” to samo. Wybacz ale tyle razy hacking.pl dało ciała że średnio mi się chce wierzyć w te ich sensacje.
    Pozdrawiam

  5. # D-
    Dec 21, 2006

    Bo dochodzi do wniosku, że mu się nie opłaca? To nie kwestia odwagi, tylko kalkulacji. To biznes.

  6. # Alex
    Dec 21, 2006

    @SG: gówno prawda, pardon my french.

    Pracowałeś kiedyśw dużym projekcie który ma szybko wejść na rynek?

    To nie jest kwestia fachówców, to jest kwestia tego, że w projektach tego typu jest olbrzymi nacisk na to, żeby skrócić time to market i zdążyć przed konkurencją. I wszystko poza głównymi funkcjonalnościami idzie na bok.

  7. # gonzo
    Dec 22, 2006

    bez przesady z tymi dziurami. to, ze mozna wstrzyknac js’a jeszcze nie znaczy, ze mozna wykrasc hasla i wystawic aukcje jako dowolny user. Owszem, poznasz identyfikator sesji ale nie sadze, ze moglbys go wykozystac, no chyba, ze laczysz sie z tego samego ip ale wtedy sa latwiejsze sposoby wlamu na czyjes konto. dziury oczywiscie byly, sa i beda ale takie rewelacje pachną na odleglosc.

  8. # D-
    Dec 22, 2006

    gonzo: Założyłeś, że to IP było sprawdzane. Nie musiało być.

  9. # Alex
    Dec 23, 2006

    No więc się dowiedziałem jak wyciągnąć hasło. chwyt jest tak prosty, że w życiu bym na niego nie wpadł.

    Wstrzyknięty JS wstawia niewidzialny dla usera formularz z polami takimi jak logowanie Allegro. A przeglądarka grzecznie wstawia login i hasło. Potem JS to gdzieś wysyła.

    Proste?

  10. Jan 10, 2007

    Tak – głośno ostatnio o dziurach w allegro, ale śmieszniejsze, że podobny atak można było przeprowadzić na serwisie mBanku 🙂 Ten sam gość pokazał tą dziurę, na szczęście została ona następnego dnia załatana.

Sorry, comments for this post are disabled.