Usterka bezpieczeństwa w serwisie społecznościowym nasza-klasa.pl

Nasz czytelnik, posługujący się pseudonimem Devnul, przysłał nam informację o znalezionej przez siebie usterce w popularnym serwisie społecznościowym nasza-klasa.pl. Komunikat dotyczący tej luki pojawił się też wcześniej w serwisie hack.pl.

Problem

Przyczyną problemu jest skrypt /hitcount/2f służący najprawdopodobniej do zliczania odwiedzin w ramach któregoś z programów partnerskich. Przekazując mu odpowiedni parametr u, użytkownik jest w stanie zmusić aplikację do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.

Zagrożenie

Znaleziona usterka pozwala wprowadzić użytkownika w błąd przez wysłanie mu odnośnika prowadzącego rzekomo do zasobu zlokalizowanego w serwisie nasza-klasa.pl. Dzięki temu potencjalny napastnik jest w stanie pomóc sobie w dokonywaniu ataków CSRF i XSS. Obawiać powinni się przede wszystkim właściciele aktywnych urządzeń sieciowych wyposażonych w interfejs WWW, ponieważ otrzymany link może prowadzić do sekcji zmieniającej ustawienia .

Przykład odnośnika:

http://www.nasza-klasa.pl/hitcount/2f?u=http:%2f%2heise-security.pl

Intruz, wykorzystując otwarte przekierowanie, mógłby pokusić się o stworzenie skryptu JavaScript, który przy użyciu obiektowego modelu dokumentu (DOM) odczytywałby umieszczone w kodzie strony tokeny autoryzujące i automatycznie wykonywał pewne czynności w imieniu użytkownika. Jednak uniemożliwiają to umieszczone w serwisie zabezpieczenia polegające na przeładowywaniu dokumentu macierzystego z poziomu skryptu w ramce.

Ochrona

Do czasu usunięcia usterki nie należy otwierać linków o podejrzanie wyglądającej treści, które rozpoczynają się adresem http://nasza-klasa.pl/. W przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

Czytaj więcej o Nasza Klasa