Vodafone a jeho chyby
ve službe Vyberte si své číslo
(C) Subber , subber@soom.cz
Nedávno jsem potřeboval nové telefonní číslo a tak jsem se
rozhodl si ho zvolit na zlate-cislo.vodafone.cz . Protože jsem však povaha
rýpavá začal jsem si hrát a postupně objevoval další možnosti které systém měl
standardně skryty a o kterých by podle mne vodafone nerad věděl. Nyní vás
zasvětím do tajů malých bezpečnostních chyb systému vodafone.cz pro vybrání si
vlastního telefonního čísla.
Co je základem těchto technik
?
Na adrese
http://zlate-cislo.vodafone.cz/consumer.php?ctype=consumer je formulář,
kde si zvolíte jaké telefonní číslo asi tak chcete a u těchto telefonních čísel
a případně můžete nahradit část čísla otazníkem ale tímto otazníkem můžete
nahradit pouze 3 číslice (! zapamatovat - jedna z dalších chyb) nebo také
napíšete písmena a ve výpisu čísel se ukáží místo písmen číslice na kterých na
telefonu tyto písmena jsou. Já však udělal něco jiného - koukl jsem se na tomto
formuláři na jméno políčka ve kterém se odesílá telefonní číslo. Název tohoto
políčka byl "msisdn" . Řekl jsem si že když vodafone web jede na Apache serveru
a je tam PHP že něco zkusím.
Obcházíme kontrolní kód při více
požadavcích a posíláme telefonní číslo metodou GET místo metody POST
Ptáte se co jsem zkusil? Poté co
jsem POSTnul formulářem který odkazoval na skript vyhledej.php své číslo co jsem
si přál , číslo z obrázku atd. jsem zkusil toto tel. číslo zaměnit. Všiml jsem
si totiž že HTTP server si ke mně zapsal 2 cookies s názvy Cukratko a SEDD7236_SS.
Jak jsem si přečetl, tyto cookies měly platnost do vypnutí prohlížeče a proto
jsem nabyl dojmu že pomocí nich se kontroluje jestli jsem opsal kód z obrázku. A
také že ano. Jak jsem si byl vědom, mnoho lidí při programování v PHP
nerozlišuje jestli proměnná vznikla tím že skript jí dostal v POST nebo jestli
jí uživatel zapsal do url v GET. Zkusil jsem tedy zadat
http://zlate-cislo.vodafone.cz/vyhledej.php?msisdn=777000007 a k mému úžasu
to fungovalo. Fungovalo to i pro jiná telefonní čísla. Pokud si to chcete
vyzkoušet nejdřív opište na
http://zlate-cislo.vodafone.cz/consumer.php?ctype=consumer
kód z obrázku a jakékoliv číslo a poté si také zadávejte čísla ve formátu
http://zlate-cislo.vodafone.cz/vyhledej.php?msisdn=XXXXXXXXX . Ale nesmíte
zavřít prohlížeč. Myslíte si že se jedná o dětskou hru a že toto nejde zneužít
ale to se mýlíte. 1. věc jak se to dá zneužít - ta je zatím malá - je to že
jestli jsem nezadal více než 3 otazníky kontroluje javascript přímo ve
formuláři. Skript vyhledavej.php počet otazníků nekontroluje takže obchodníci s
čísly mají více možností jak hledat zlatá čísla (tomu taky se asi to omezení 3
otazníků snažilo zamezit) , daleko horší je však druhá možnost naprogramování si
BOTa který by vyzkoušel všechny kombinace čísel s 1 cookie a proto by mu stačilo
opsat 1x obrázek v prohlížeči , do BOTa zkopírovat obsah cookie a BOT by už
pracoval pouze s touto cookie.Na server by takovýto (ro)BOT
pokládal dotaz v tomto formátu:
GET http://zlate-cislo.vodafone.cz/vyhledej.php?msisdn=774010222
HTTP/1.0
Cookie: Cukratko=4171320793.20480.0000; SEDD7236_SS=q6pbs9751b41mjtbltfm8oj831
Host: zlate-cislo.vodafone.cz
Přičemž obsah cookie vždy nahradil obsahem svojí vygenerované cookie který by
získal prvotním opsáním obrázku (doba po kterou server cookie akceptuje se mi
zjistit nepovedlo ale pokud by měl štěstí může tuto cookie akceptovat třeba rok
nebo doživotně).
Ukázka takového BOTa aneb rychlá
Subberova práce
Na konec přikládám svého BOTa kterého jsem v rychlosti
naprogramoval a který tento seznam volných čísel dotazy za sebou vytváří. Tento
BOT odhalí v rozsahu čísel (třeba 777000000 - 777999999) která jsou volná a
která ne. Umí odhalit i chybu že cookie vypršela (už to chce znovu opsat kód).
Bohužel jsem ho programoval narychlo tak se občas splete s určením jestli je
číslo volné nebo ne (neplatnou nebo vypršenou cookii vždy poznal). Tento BOT je
ke stažení na
http://phreaking.soom.cz/generator.exe .
(C) Subber , subber@soom.cz
, Článek napsal Subber , chyby u vodafone objevil Subber , BOTa napsal Subber -
2007