7

Jak(można było) przejąć dowolne konto w serwisie Wykop.pl?

Update: wpis jest już nieaktualny, po rozgłoszeniu sprawy na wykopie błąd został w końcu naprawiony, niemniej zostawiam treść:

Jako że pomoc techniczna wykopu nie zajęła się moim zgłoszeniem, a wręcz po ponad tygodniu zostało ono(prawdopodobnie) zamknięte, publikuję informację na temat błędu z szyfrowaniem na stronie.

Na stronie głównej wykopu można dodać znalezisko w formie zewnętrznego linku lub wewnętrznego(na wykopie) artykułu. Ta druga forma niestety ma najpewniej błąd z przekierowaniami ponieważ linki ze strony głównej prowadzą do wykopu bez SSL. Przykładów jest tyle, ile artykułów na stronie, kilka tutaj: [LINK 1] [LINK 2] [LINK 3]. Problem jest o tyle poważny, że nawet gdy ręcznie dodamy “https://” na początek linku to i tak zostaniemy przekierowani na wersję bez szyfrowania.

Zainteresowałem się sprawą, uruchomiłem drugi komputer i wykonałem prosty atak arp spoof na swoją główną maszynę. Po odfiltrowaniu pakietów w Wireshark, sprawdziłem pakiet http wysłany do wykop:

kliknij aby powiększyć

Okazuje się, że ciastkom brakuje flagi Secure, przez co wysłane plain textem w pakiecie HTTP są widoczne. Skopiowałem wartość nagłówka Cookie i wkleiłem w Burp Suite przy wchodzeniu na wykop:

kliknij aby powiększyć

I tak oto zalogowałem się na swoje konto, bez konieczności wpisywania hasła.

Po szybkim researchu nie widziałem nigdzie zgłoszenia z tym błędem, napisałem więc do supportu wykopu, żeby błąd naprawili. Całość przebiegła następująco:

  • 13 marca – błąd zgłoszony za pomocą panelu kontaktowego na wykop
  • 15 marca – informacja, że błąd został przekazany do działu technicznego
  • 17 marca – pytanie o status zgłoszenia ze względu na brak informacji
  • 21 marca – błąd dalej nie naprawiony, mail od wykopu z pytaniem o opinie nt. uzyskanego wsparcia, zgłoszenie prawdopodobnie zamknięte

Od tej pory nie było żadnej informacji, ze względu na to postanowiłem całość opisać tutaj.

Avatar

glasn0st

7 Comments

  1. Mocny atak, uda się pod warunkiem że:
    – Wszyscy użytkownicy wykopu będą się logować na swoje konta z twojego adresu IP i serwer im będzie tworzył sesje z twoim adresem IP
    – Wszyscy użytkownicy oczywiście będą cymbałami i pobiegną do ciebie do domu aby sprawdzić podatność.

    Chłopie, nie odkryłeś vulna tylko sposób w jaki przeglądarka po stronie silnika autoryzuje requesty do API serwisu abyś był zalogowany.
    Daj spokój, cho lepiej na serwer CITY w COD MW4 i popykamy razem – mam nick “Rzeźnik”

    • Błąd polega na złych przekierowaniach na stronie wykopu, które pozwalają podsłuchać ciastko z ID sesji, to jest błąd.

    • W firmach, szkołach (no, akurat nie podczas epidemii) i na niektórych osiedlach nadal mamy NAT na jednym łączu więc wspólne IP zewnętrzne nie jest niczym szczególnym. Nie badałem czy Wykop wykonuje jakiś dodatkowy fingerprinting, ale nie zmienia to faktu, że jest to podatność. Nie jest krytyczna, ale na pewno też nie jest to trywialny błąd do zignorowania.

  2. @Rzeznik

    Lol co ty gadasz chlopie. Podatność jak najbardziej groźna. Pluje na wykop od strony administracyjnej za takie kwiatki

  3. Pierwsze zdanie i już błąd 🙁 Nie zawsze wstawia się przecinek przed “że”, a już na pewno nie w tym przypadku.

  4. Smiesznie ale i tak mają to w pompie. W wykopie rządzi Elfik, chłopacy za nią nie przepadają (zespół i tak liczy tylko 3 osoby) Ona z reszta sama nie potrafi nic wyjasnic normalnie. Michał wpada sporadycznie i łazi w skarpetach po biurze… Jedyny ogarnięty to Breht w sumie tam został ale on to jest teraz właścicielem więc nie dziwne, że mu zależy…

Dodaj komentarz