Kolejna luka w Allegro ?

Wiele się słyszy o bezpieczeństwie na polskich serwisach o lukach i jak są one błyskawicznie łatane. Z ciekawości podczas wystawiania jednej aukcji zacząłem kombinować z selektorami CSS i ich właściwościami. Wiedziałem ze sztuczki z pozycjonowaniem warstw i ujemnymi marginesami po ostatnich incydentach zostały zabronione. Jakie było moje zdziwienie, wystarczyła podstawowa znajomość CSS w formularzu wstawienia aukcji do spreparowania strony aukcji.

Rezultaty można było zobaczyć na spreparowanej aukcji (archiwum)

Udało mi się podmienić kontent aukcji wraz z tytułem aukcji, nazwą użytkownika, liczbę komentarzy odsłon etc. Luka jest na tyle poważna ze użytkownik po wejściu na stronę aukcji nie ma z niej wyjścia poza przejściem do poprzedniej strony w przeglądarce. Spreparowane odnośniki na stronie prowadzą do podstawionej strony przez co możemy bez większego trudu wykraść nazwę użytkownika i hasło konta. Na czym polega owa sztuczka?. Za pomocą kaskadowych arkuszy wystarczy nadać głównym elementom strony odpowiednia właściwość aby ukryć kontent.

Jedyny problem na jaki natrafiłem to nieczytelny kod, pełen błędów, wymieszane atrybuty HTML z CSS do tego elementy JavaScript gdzie znalezienie czegokolwiek graniczy z cudem. Administracja Allegro o bugu została poinformowana a nie jest to jedyny sposób na spreparowanie aukcji. Z braku ograniczeń w formularzu i stylów Css strony Allegro widzę tu możliwość kilku sposobów na obejście zabezpieczeń ale to już następnym razem...

Aktualizacja:

Dziura załatana!!! Ale czy na pewno ?

6 godzin zajęło administratorom Allegro załatanie luki pozwalającej spreparować stronę aukcji. Spreparowana wcześniej strona została usunięta przez administratorów.

Sztuczka polegała na dodaniu głównym selektorom strony odpowiedniej właściwości. Wyglądało to następująco:

div#pagecontent1 *, div#headerBox *,td.navbar ,div#footerBox * {display:none}

Użycie tych selektorów w formularzu zostało zabronione i po raz kolejny zabrakło administratorom Allegro.pl znajomości kaskadowych arkuszy stylów. Jak pisałem wcześniej jest kilka możliwości spreparowania aukcji. Allegro znowu się nie popisało,pieniądze z prowizji na pewno nie idą na bezpieczeństwo.

Kolejną spreparowaną aukcję możesz zobaczyć tutaj - niestety jest to archiwum gdyż Allegro szybko usuwa takie aukcje.

Realizacja: SIPLEX Studio