15:42
4/12/2012

* XSS-y i CSRF w poczcie WP

Jakub Zoczek opublikował informacje na temat 1 załatanego już XSS-a i jednego CSRF-a w poczcie Wirtualnej Polski. Ale w jego opisie są też informacje o kolejnych, jeszcze nie załatanch błędach: XSS-ie w nagłówkach i ominięciu ochrony przed CSRF-em.

XSRF WP.PL

XSRF w WP.PL

Atakujący za pomocą w/w błędów, poprzez wysłanie odpowiednio spreparowanego e-maila, może dodać swój adres do whitelisty ofiary na koncie skrzynki pocztowej WP i dzięki temu wysyłać kolejne wiadomości z JavaScriptem, który nie będzie blokowany.

Mam konto na WP, co robić?

Użytkownikom poczty WP sugerujemy korzystanie z programów pocztowych a nie webinterface’u — przynajmniej przez kilka najbliższych godzin, zanim administratorzy poczty nie usuną błędów (zostali o nich powiadomeni).

Wszystkich bughunterów zachęcamy do odpowiedzialnego zgłaszania błędów (tj. przekazywania ich do autorów oprogramowania). Przyjęło się publikować niezałatane błędy dopiero po 60 dniach od zgłoszenia, jeśli nie nastąpiła żadna reakcja ze strony producenta wadliwego oprogramowania.

Aktualizacja 16:15
Błyskawiczna reakcja WP — błędy już zostały załatane.

Aktualizacja 18:00
Nieoficjalnie dowiedzieliśmy się, że znalazca błędów po przesłaniu ich pierwszej części otrzymał za nie gadżety z podziękowaniami. Natomiast drugą część błędów chciał sprzedać …a WP nie płaci za błędy (stąd zapewne ich publikacja na liście full disclosure).

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


15 komentarzy

Dodaj komentarz
  1. A ja mam takie pytanie odnośnie “Przyjęło się publikować niezałatane błędy dopiero po 60 dniach od zgłoszenia, jeśli nie nastąpiła żadna reakcja ze strony producenta wadliwego oprogramowania.”

    A czy właściciel oprogramowania może mnie pozwać za działanie na jego szkodę za coś takiego ?

    • To zależy, co zrobiłeś, w jakim celu i do jakich danych uzyskałeś nieuprawniony dostęp i czy przy okazji naruszyłęś integralność/stabilność usługi.

    • Z tego, co kiedyś wspominałeś Piotrze, bankom raczej nie należy takich błędów zgłaszać? :)

  2. W praktyce może zawsze. Powołując się na nieuatoryzowane przełamywanie zabezpieczeń.

    • Nie da się przełamać czegoś, czego nie ma.

    • Zastanów się czy istniała tam taka “opcja”. Nazwijmy to “Legalnego dostepu” za pomocą przycisku. Rozumiem,że wytłumaczysz w sądzie,że modyfikujac ciasteczka, modyfikujac zmienne w url czy jeszcze innymi metodami robiłeś to legalnie? Tak to nie zadziała.

      Oczywiście nie wszyscy od razu pójdą z tym na drogę sądową. Raczej załatają dziury i powiedzą,że nic takiego sie nie stało.

  3. Po co publikować/informować autorów jak można samemu na tym niezłą kaskę zbić?

    • Bo tak ;)

    • Żeby nie być jak Armaged0n ;)

  4. Z tego wnika ze zglosil to 2 miesiace temu… smutne ze naprawili dopiero po publikacji http://seclists.org/fulldisclosure/2012/Dec/68

    • a sorry, poprawka, doczytalem ze niekotre bledy zglosil dopiero dzis.

  5. “Przyjęło się publikować niezałatane błędy dopiero po 60 dniach od zgłoszenia”

    Ja chyba w matrixie obok mieszkam, bo pierwszy raz słyszę o takiej regule. Jeśli tego terminu nie wyciągnęliście sobie z d^Hgłowy, to podajcie proszę źródło.

    SANS wspomina o 30 dniach, podobnie Symantec. Facebook, Google i Mozilla mówią o “rozsądnym czasie”, przy czym Google proponuje też 60-dniowy deadline, ale nie jest to czas oczekiwania na odpowiedź.

    • Zawsze chodzi o taki czas, aby błędy można było poprawić. W przypadku WP moje (zamierzone i mijające się z polityką responsible disclosure) działania przyniosły pożądany efekt – czyli błyskawiczny fix.

      Powodem publikacji była również konieczność przypominania się z kontaktem oraz – jak odczułem – pobłażliwy stosunek do sprawy. W porównaniu do poprzedniego zgłoszenia jest to niebo, a ziemia. Więc tutaj bardziej chodziło o powyższe, niż o kasę.

      Myślę, że całość w efekcie ma szczęśliwe zakończenie. Dodam tylko, że to był jedyny raz kiedy zdecydowałem się na opublikowanie niezałatanych bugów.

      Pozdrawiam.

  6. Armaged0n jest wytrwały i nieugięty. Tyle krytyki dookoła a on dalej działa :D

  7. Zoczus, zoczus… myślę skąd ja go znam. Forum, strona,
    portal? Nie… bash! http://bash.org.pl/search/?q=zoczus Ty
    kradzieju skryptów! :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: