Autor: .cCuMiNn. | 11.10.2007 |
Po zveřejnění reportu z bezpečnostního testu, který jsem provedl na webu Volny.cz, jsem byl v komentářích upozorněn na XSS zranitelnost ve webovém rozhraní e-mailových účtů. Tato chyba byla zveřejněna 13.4.2007 a týkala se freemailů na Centrum.cz, Tiscali.cz a Volny.cz. Administrátoři zmíněných serverů byli na zranitelnost upozorněni a až na jednoho své systémy proti XSS zabezpečili. Původní článek pojednávající o této zranitelnosti je v současné době k dispozici již pouze v Google cache.
Proč Volny.cz oznámenou zranitelnost neopravil? Zřejmě proto, že jejich webmasteři nejsou o případných následcích dostatečně informováni a v existenci XSS nespatřují žádná rizika. Vyjádření Volného je k dispozici u zprávičky, která vyšla na Lupě.
Celé vyjádření mi přijde natolik směšné, že jej zde musím odcitovat:
"Popsaný způsob útoku proti webmailu Volný je zcela neúčinný. Autorem získané cookies neobsahují žádné (ani zašifrované) údaje, cookies neslouží jako
autologin či něco podobného. Jedná se o náhodný řetězec, který slouží při vyhodnocování statistik (vyhodnocování reklamních kampaní atp). Popsaný způsob
útoku je znám několik let a proto je náš systém vůči němu imunní. Autor získal cookies, které neobsahují žádné informace, které by se daly zneužít k
jakémukoliv útoku proti našemu webmailu."
Milí webmasteři Volny.cz uvědomte si, že krádež cookies není zdaleka jediným cílem, ke kterému lze XSS zranitelnosti využít. Útočník může přes XSS plně ovládnout webový browser oběti a dělat si na doméně, která XSS obsahuje, naprosto cokoliv a to vše pod identitou své oběti. Na webu existuje spousta dokumentů, které se tomuto tématu věnují a proto Vám doporučuji do nich alespoň nahlédnout.
Abyste si mohli udělat představu o zdrcujících účincích XSS, vytvořil jsem exploit, který výše uvedenou XSS zranitelnost v mailových účtech na Volny.cz využívá k tomu, aby přesměroval veškerou příchozí poštu oběti na útočníkovu adresu. Pokud má oběť povoleny vyskakovací okna, provede se celý útok pouhým zobrazením zprávy ve formátu HTML a od oběti není vyžadována žádná spoluúčast. Uživatelé mají to štěstí, že se o jejich bezpečí nestarají pouze webmasteři serveru Volny.cz, ale myslí na jejich bezpečí i tvůrci webových prohlížečů, kteří vyskakovací okna implicitně zakazují. V případě, kdy jsou vyskakovací okna blokována, přichází na řadu odkaz zaslaný v těle e-mailu, na který musí útočníkova oběť kliknout, aby se útok provedl. To však není s trochou důvtipu pro útočníka většinou žádným problémem.
Útočník zašle své oběti email, který ve svém těle obsahuje javascriptový kód, který po zobrazení e-mailu automaticky vykoná tyto kroky:
Uvedený kód stačí pouze nakopírovat do těla e-mailové zprávy ve formátu html a upravit v něm adresu, na kterou má být příchozí pošta přesměrována. Po odeslání oběti již vše ostatní exploit zařídí sám.
Administrátory Volného jsem tentokrát již neupozorňoval. Na tuto chybu byly upozorněni již před šesti měsíci a jak je vidět, nemají upozornění jim zasílaná žádný vliv na zvýšení bezpečnosti poskytovaných služeb. Místo toho raději upozorním uživatele, kteří se rozhodují nad freemailovým poskytovatelem, u kterého by si zřídili svůj účet. Volny.cz je pro vás tou správnou volbou, pokud chcete přijít o své soukromí. Bezpečí na Volny.cz totiž opravdu nehledejte. Narazíte pouze na množství dávno zveřejněných chyb, které jsou jeho provozovatelům očividně ukradené…