Pokec.sk

BugTrack

Pokec.sk #
Poradilo sa niekomu z Vas na tomto webe najst chybu, ktora by v konecnom dosledku mohla viest k pristupu k udajom uzivatelov ? Neziadam od Vas odkazy na konkretnu chybu, uplne postaci napisat o aku najdenu chybu sa jednalo.

Dakujem pekne.
(odpovědět)
MartinPokec | 217.12.56.*1.7.2016 21:32
re: Pokec.sk #
Priamo zraniteľnosť nie no majú tam pár nepekných chýb.

1.) Hlavná stránka sa načítava cez klasické HTTP, prihlasovací formulár sa síce posiela na skript cez HTTPS avšak vďaka tomu že sa stránka s prihlasovacím formulárom načítava bez HTTPS nie je problém pri útoku typu ManInTheMiddle použiť pekný nástroj SSLStrip ktorý stripne SSLkové linky (nahradí HTTPS za HTTP vo formulári) - dáta sa vďaka tomu pošlú v plaintexte nešifrovane.

2.) Keďže pokec nepoužíva hlavičko HSTS (Http Strick Transport Security) nevyžaduje pripojenie cez HTTPS ale povoluje kludne browsrovať cez HTTP. Bohužial aj samotný formulár po prihlásení smeruje na HTTP (Nechcem teraz klamať nakoľko osobne pokec účet nemám no zdá sa mi dokonca že po prihlásení aj keď zmeníš link na HTTPS (Chceš aby si posielal dáta šifrovane) tak ťa to redirectne na HTTP verziu ale tým som si nie som istý!).

Z toho vyplíva že znova útoky typu Session Sidejacking za pomoci MITM nie sú problémom ...

3.) Existoval jednoduchý spôsob ako si spraviť backdoor k účtu ale ten tu nebudem popisovať pretože ak ešte funguje (pokiaľ neprerobili skripty nastavení účtu tak by tam ešte mal byť - osobne som ho objavil a odskúšal niekedy na prelome rokov 2011/2012 takže je dosť možné že od vtedy bola časť webu s nastaveniami účtu zmenená).

V skratke šlo o to že stačilo aby si sa dostal k hocijakému prihlásenému účtu (napríklad aj metódou MITM, ktorá sa dá jednoducho vykonávať dodnes) a za pomoci jednoduchého triku si si zaistil prístup k účtu hocikedy v budúcnosti - viacej už neprezradím nakoľko by to napovedalo kde bola daná chyba ...

-----------------

Takže ako zhodnotenia vzhľadom na to že je to najväčší chatovací portál na Slovensku (ak sa teda nemýlim) je to dosť hanba.

O priamej chybe typu XSS, SQLI, LFI, RFI ... neviem.
Ešte je však dosť možné že je pokec zraniteľný na Session Fixation - nakoľko však nemám účet a ani si ho nemienim zakladať túto zraniteľnosť nemám otestovanú ...
(odpovědět)
nitram147 | E-mail4.7.2016 11:06

Zpět
 
 
 

 
BBCode