Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Phishing w Pasażu Wirtualnej Polski

. grzech:

  • brak filtracji szukanego słowa

konsekwencja:

  • umożliwienie ataku XSS / CSRF – umożliwia to phishing

Jednym z serwisów wchodzących w skład portalu Wirtualna Polska jest Pasaż. Umożliwia on właścicielom sklepów internetowych prezentacje swoich produktów na łamach WP.

Kluczowym elementem Pasażu jest wyszukiwarka umożliwiająca odnalezienia w gąszczu produktów tego, którym jesteśmy zainteresowani. Wpisywane słowo kluczowe nie jest filtrowane dzięki czemu możliwe jest przeprowadzenie ataku XSS. Łącząc to z możliwością wyciągnięcie loginu ostatnio zalogowanego użytkownika do poczty WP (który znajduje się w cookies) możemy przeprowadzić atak phishingowy zdobywając od nieświadomego użytkownika hasło do jego poczty.

Wystarczy wyświetlić mu stronę prezentowaną na poniższym screenie. Atrakcyjne hasło reklamowe ma zachęcić go do wpisania swojego hasła, a co za tym idzie do przekazania go agresorowi.


Tagi: , , ,
Kategoria: Bezpieczeństwo, BugTraq


6 komentarzy

  1. towar napisał(a):

    Wystarczy wyświetlić mu stronę prezentowaną na poniższym screenie. Atrakcyjne hasło reklamowe ma zachęcić go do wpisania swojego hasła, a co za tym idzie do przekazania go agresorowi.

    To nie bedzie takie proste bo raczej link w stylu http://pasaz.wp.pl/szukaj.html?nazwa="><script>alert('ops... xss');</script>&cid=0&x=5&y=12&widocznosc=1&sort=&descriptions=1&pictures=1&podswietlenie=1&przeznaczenie=&producent=0
    nie wyglada zbyt przyjaznie ; ]
    ale sam fakt ze tworzac tak wielki serwis zapomniano o filtracji to rzeczywiscie grzech ;)

  2. Michał `Bełdzio` Ławicki napisał(a):

    Czemu trudne? wystarczy wstawić zaatakowaną stronę do ramki, a następnie przekazać "bezpieczny" adres ofierze :-)

  3. towar napisał(a):

    wow ;d
    no masz racje, nawet na mysl mi to nie przyszlo…
    banalnie proste ale jednak skuteczne ;]
    a ludzie mowia…
    "co mi takim marnym xss'em moga zrobic"

  4. Michał `Bełdzio` Ławicki napisał(a):

    he he właśnie piszę kolejną notkę, która odpowie na napisane przez Ciebie pytanie ;-)

  5. pink napisał(a):

    coś długo Ci to idzie :]

  6. Michał `Bełdzio` Ławicki napisał(a):

    Troszeczke ;-) praca, praca, praca ;-) mam już ją zaczętą więc w tym miesiącu powinna się pojawić ;-)

Dodaj komentarz