20 Dec 06 Jak bronić się przed atakami na Allegro.pl
Po ogromnej popularności artykułu Łukasza Lacha na hacking.pl można spodziewać się, że wbrew temu co napisałem w poprzedniej notce, luki w Allegro zaczną być wkrótce wykorzystywane w praktyce. Warto zatem wiedzieć, jak bronić się przed wspomnianymi tam atakami.
Na początek, dla osób nie znających mechanizmów XSS i CSRF, krótkie wyjaśnienie: luki opisane przez Łukasza Lacha nie umożliwiają zaatakowania konta dowolnego użytkownika. Atak następuje w momencie, kiedy ofiara otworzy stronę zawierającą złośliwy kod. Link do tej strony może być przesłany mailem, wstawiony w opis aukcji lub na stronie “o mnie”. W najgorszym przypadku złośliwy kod znajduje się bezpośrednio we wstawionym przez nieuczciwego użytkownika opisie aukcji.
Dodano 22 grudnia 2006: zgłoszona luka nie dotyczyła opisów aukcji (http://anakin.us/blog/allegro-pelne-dziur-jak-to-bylo/)
Jak zatem się bronić?
- W skrajnym przypadku - nie używać Allegro przez jakiś czas, do naprawienia błędów. Nie możemy być zaatakowani, jeśli nie logujemy się na Allegro. Takie rozwiązanie jest jednak ostatecznością i nie ma powodu, by go stosować - przynajmniej dopóki luki nie są aktywnie wykorzystywane.
- Jeżeli zapamiętaliśmy hasło do Allegro w przeglądarce - należy je usunąć. Automatyczne uzupełnianie hasła przez przeglądarkę ułatwia przechwycenie go przez atakującego. Hasło lepiej jest wpisywać tylko i wyłącznie własnoręcznie. Usunąć hasło do Allegro z Firefoxa 2.0 można następująco: Narzędzia->Opcje->Bezpieczeństwo->Pokaż hasła->usuwamy allegro.pl, www.allegro.pl i ssl.allegro.pl.
- Wyłączyć w przeglądarce aktywne skrypty/JavaScript lub zainstalować rozszerzenie NoScript dla Firefoxa (i zablokować wykonywanie skryptów dla allegro.pl). Niestety Allegro bez JavaScriptu traci część funkcjonalności (np. system pomocy).
- Metoda, która może sporo pomóc, to stosowanie dwóch przeglądarek jednocześnie. Wymaga to nieco akrobacji, ale sam czasami stosuję takie rozwiązanie - np. logując się do banku. W pierwszej przeglądarce korzystamy z internetu tak jak na co dzień, natomiast jeżeli chcemy w Allegro wykonać jakieś działanie wymagające logowania, otwieramy drugą przeglądarkę i operujemy na niej (nie klikając na żadne linki wstawione przez użytkowników). Jeżeli używasz Internet Explorera, jako drugą przeglądarkę polecam Firefoxa lub Operę. Osobiście jako drugą przeglądarkę stosuję często Internet Explorera 7 z wyłączoną obsługą aktywnych skryptów.
- Nie należy zbytnio ufać listom przychodzącym z Allegro lub od jego użytkowników, namawiających do kliknięcia na link lub wejścia na jakąś stronę.
Niestety żadna z tych metod (poza pierwszą, oczywiście nie polecaną, ale skuteczną ;)) nie broni przed atakiem CSRF przy pomocy obrazków w opisach aukcji - zaś wyłączenie wyświetlania grafiki nie ma większego sensu w serwisie aukcyjnym. Na szczęście tego typu ataki mają bardzo ograniczone możliwości, można się też spodziewać że ekipa Allegro szybko zlikwidowałaby źródło w razie pojawienia się złośliwego kodu wykorzystującego tą lukę.
Leave a Comment
