Luka Cross-Site Scripting w Allegro.pl

Ostatnio na łamach naszego serwisu została opublikowana informacja na temat wykrytej dziury Cross-Site Scripting (XSS) na stronach kartki.onet.pl. Z racji tego, że w tym temacie otrzymałem sporo maili postanowiłem opisać kolejny problem.

Zapewne większość z Was pamięta, że podobny błąd można znaleźć w wielu serwisach, niestety między innymi nawet w tak dużym serwisie jak Allegro.pl. Jednym z takich przykładów może być wywołanie zdjęcia z innej strony, a do tego celu posłuży nam poniższy kod:

http://allegro.pl/password_reminder.php?msg=<img%
20style="border:%20solid%205%20maroon;"%
20src="http://www.wp.pl/i/lwx.gif">

Atrybut msg zinterpretuje kod html i wyświetli logo strony wp.pl - interpretowany jest także CSS zatem jak widać nie jesteśmy ograniczeni tylko i wyłącznie do Java Script.

Także i przykłady wymienione w newsie dotyczącym dziury w kartki.onet.pl, również działają w Allegro. Oto przykład alertu który oczywiście wypisze "BOO":

http://allegro.pl/show_item.php?item=17345413&msg=%3Cscript%3Ealert(%22BOO%22)%3C/script%3E

bądź alert pokazujący cookie:

http://allegro.pl/show_item.php?item=17345413&msg=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Na koniec dodam, że Allegro zostało poinformowane o tym problemie dwa tygodnie temu jednak do dziś błędu nie naprawiono.

"Zgłosiłem to 2 tygodnie temu do Allegro, jednak do dzisiaj nie otrzymałem odpowiedzi, a błąd nadal działa. Chyba nie zależy im na utrzymaniu serwisu w należytym porządku." - pisze Krzysztof Gibas.

Zatem jak widać istnieje nieograniczona możliwość wykorzystania takiego błędu. Do jakiego celu? No cóż, na to pytanie musicie sobie już sami odpowiedzieć.