Jeden z naszych nieocenionych testerów zamieścił na Facebooku zrzut ekranu z dowodem, że strona Programu Partnerskiego www.mbank.net.pl jest podatna na atak XSS (cross-site scripting).

Nie tak dawno pisaliśmy o przypadku takiej luki na stronie jednej z wiodących firm telekomunikacyjnych i jakie zagrożenie może stanowić atak wykorzystujący taki błąd.

Widać, że nawet poważne instytucje finansowe nie radzą sobie dobrze z pisaniem bezpiecznych stron i aplikacji internetowych, narażając siebie i swoich klientów na poważne zagrożenia.

Autorem artykułu jest S.G., ekspert ds. testów bezpieczeństwa serwisów internetowych.

Cross-site scripting (XSS) jest to metoda ataku na aplikacje internetowe, polegająca na osadzeniu kodu (skryptu) na stronie internetowej.

Wielu z testerów umie sprawdzić podatność danej witryny na tego rodzaju atak.
Używamy podstawowych wstrzyknięć kodu typu: <script>alert(1);</script>. W momencie, kiedy wyskoczy okienko, to już wiemy, że witryna jest podatna. Jednak, ilu z was potrafi wykorzystać tego typu błąd w praktyce? Poniżej opiszę w jaki sposób, wykorzystując podatność XSS, można przejąć kogoś konto.

Na przykładzie strony pewnej firmy telekomunikacyjnej X.

Od dawna jestem klientem X. Mam lepsze i gorsze doświadczenia z tą firmą.
Praktycznie od początku korzystam z konta online na www.X.pl. Wiele opcji można sprawnie zmienić, zobaczyć opłaty, połączenia, doładować komuś konto… Pewnego razu postanowiłem, że zobaczę, jakie telefony są dostępne w aktualnych promocjach. Wybrałem więc kilka telefonów do porównania. Jako, że już długo jestem testerem zabezpieczeń i uwielbiam swoje hobby, mam pewne nawyki, ciekawi mnie budowa mechanizmów witryny. Zajrzałem w źródło strony i zobaczyłem, że jej część jest ładowana poprzez AJAX. Po przeanalizowaniu zapytanie do serwera wyglądało tak:

http://www.X.pl/gear/commerce/ajax?toGet=phone-information-area&model=HTC7272_DESIRE_Z

gdzie HTC7272_DESIRE_Z to model telefonu.

Continue Reading

Jestem w trakcie tworzenia kolejnej strony (fanpage’a) na Facebooku i kolejny raz spotykam się z tym samym problemem…

Strona powinna mieć jakiś obraz (tak zwane zdjęcie profilowe). Facebook umożliwia załadowanie zdjęcia z dysku, bądź zaimportowanie z witryny. Wybierając tę drugą opcję podaje się URL swojej strony, Facebook pobiera wszystkie obrazy, które się na niej znajdują, a następnie wybiera się żądany obraz. Niestety za każdym razem, po wybraniu konkretnego obrazka, występuje błąd:

Znalazłeś inny błąd na FB lub innej stronie? Napisz do nas, chętnie go zamieścimy na blogu!