Jak se dělá rajský protlak

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 17.7.2012
Hodnocení/Hlasovalo: 1.54/57

Podle receptu mé babičky vznikne rajský protlak tak, že budeme dostatečně dlouho tlačit na rajčata a pěkně je podusíme. Co kápne při dodržení tohoto postupu z rajčete odrůdy DOT NET a nebude příchuť tohoto protlaku nakonec příliš hořká a trpká?

Před pár dny se na mě obrátil jeden můj známý, který hledal bezpečné webové úložiště pro své digitální fotografie. Prioritou pro něj bylo, aby si svá fotoalba mohl uzamknout heslem a měl tak jistotu, že se k jeho fotografiím nedostane nikdo nepovolaný. Jeho výběr směřoval k největší a nejznámější české službě Rajce.net, která spadá pod iDnes.cz. Po zkušenostech s nedostatečným zabezpečením fotoalb na Xchatu, o kterém jsme vás před časem informovali, mě ale raději požádal, zda-li bych nemohl tuto službu proklepnout a potvrdit mu, zda budou zamčená fotoalba na Rajčeti skutečně v bezpečí.

Vytvořil jsem si proto na Rajčeti pro tyto účely dva uživatelské účty. Jeden se zamčenými fotoalby (user-test) a druhý pro testování přístupu k utajeným fotografiím prvního účtu (attacker-test).

Po prvotním průzkumu se zdálo, že si programátoři se zabezpečením skutečně vyhráli a služba tak bez potíží odolala rychlým střelám, které měly otestovat běžné slabiny webových aplikací. Samozřejmě, že na nějaké to XSS je člověk již zvyklý a bylo by divné, kdyby se na Rajčeti žádné nevyskytovalo. Nějaká se tam tedy najdou, ale pro otestování přístupu k zamčeným fotografiím se jich využít nedalo. Nezbývalo, než se více ponořit do zdrojových kódů jednotlivých stránek a zaměřit se na doplňkové služby, které Rajče poskytuje.

Jednou z těchto doplňkových služeb, která je na Rajčeti po přihlášení k uživatelskému účtu dostupná, je například možnost nechat si své fotky vyvolat. K tomu stačí vybrané fotky (nebo celá fotoalba) přidat do nákupního košíku a následně si objednat jejich výrobu. Screenshot níže zobrazuje stránku s možností výběru fotek z alba a tlačítko „přidat vše do košíku“, které se na této stránce nachází. Když se podrobněji zaměříme právě na toto tlačítko, které umožní objednání celého fotoalba, zjistíme, že je směrováno na adresu, kde proměnná albumID obsahuje ID objednávaného fotoalba:

http://www.rajce.idnes.cz/tisk?albumID=xxxxxxxx


Co tedy vyzkoušet, zda nebude možné objednat si vyvolání fotek z cizího alba, nebo rovnou z cizího ZAMČENÉHO alba… Jediné co k takovému pokusu budeme potřebovat je ID fotoalba. Jeho zjištění ovšem příliš potíží nečiní. Pomocí integrovaného vyhledávače jsem našel alba uživatele „user-test“ a jeho zamčené fotoalbum „Tajné fotografie“.


Když jsem následně prozkoumal zdrojový kód webové stránky, nebyl v ní problém najít tento kus kódu, který obsahuje mimo jiné právě požadované ID (v tomto případě 6729237).


Dalším krokem bylo zkusit přidat fotografie z tohoto CIZÍHO ZAMČENÉHO fotoalba do svého nákupního košíku. Zkusil jsem tedy načíst takto upravené URL:

http://www.rajce.idnes.cz/tisk?albumID=6729237

Následující screenshot ukazuje, že je výsledkem zobrazení náhledů všech fotek z fotoalba, ke kterým jsem správně vůbec neměl mít přístup. Zajímalo by mě, zda by mi po dokončení objednávky tyto fotky skutečně vyvolali a zaslali na mou adresu. Domnívám se, že ano.


Zatím se mi ovšem podařilo získat pouze náhledy jednotlivých fotografií, ale po kliknutí na kterýkoliv z nich, bylo stále vyžadováno zadání autentizačních údajů. Když jsem se znovu zaměřil na zdrojový kód, abych zjistil, kde jsou tyto náhledy uloženy, získal jsem následující zdroje odkazů:


Z uvedeného kódu je možné vyčíst umístění náhledu na adrese:

http://img2.rajce.idnes.cz/d0202/6/6729/6729237_6918caa116f0bdd2f117344d61781d5b/thumb/small_wallpaper_soom2.jpg

Posledním krokem bylo načtení tohoto odkazu a změna řetězce „thumb“ v cestě na „images“. Tím jsem získal odkaz, který již vedl k originální zamčené fotografii v celé její kráse.

http://img2.rajce.idnes.cz/d0202/6/6729/6729237_6918caa116f0bdd2f117344d61781d5b/images/small_wallpaper_soom2.jpg



Slovo závěrem

Mohlo by se zdát, že se odrůda rajčete DOT NET, hodí k výrobě protlaku docela dobře, protože se začne rozpadat a kapat již při relativně malém tlaku. Bohužel (pa)chuť, kterou výsledný produkt má, je poměrně hořká a trpká. Jistě uznáte, že jsem svému známému Rajce.net doporučit nemohl. Odeslal jsem tedy alespoň upozornění webmasterům této služby, čímž jsem možná mnoha lidem (nejen obrazně) zachránil (holý) zadek. Uvedený postup by tak měl být v tuto chvíli již nefunkční. Každopádně z této zkušenosti opět vyplývá, že uploadujete-li na Internet své fotografie, měly by být pouze veřejného charakteru. Na imaginární zámky, jimiž podobné služby chrání soukromí svých uživatelů, se totiž nelze nikdy stoprocentně spolehnout.