Blog
Zgłoszona krytyczna usterka w portalu Allegro.pl
Nasi eksperci w ścisłej współpracy z Centrum Bezpieczeństwa Allegro.pl, odkryli poważny błąd typu XSS w zabezpieczeniach portalu.
Wykorzystanie luki wykrytej przez zespół IT BCE - Logicaltrust mogło skutkować kradzieżą tożsamości innego użytkownika oraz wykonywaniem w jego imieniu szeregu działań (np. licytowaniem przedmiotów). Kolejnym groźnym skutkiem usterki była możliwość podmiany zawartości wyświetlanej strony dla oglądającego (phishing).
Typowy scenariusz ataku wykorzystującego odkrytą lukę przebiegałby w następujący sposób:
- zalogowany do Allegro użytkownik odwiedza odpowiednio spreparowaną stronę napastnika,
- licytowanie wrogiej aukcji następuje automatycznie bez wiedzy i zgody legalnego użytkownika.
Natychmiastowa reakcja działu bezpieczeństwa Allegro.pl na zaistniały problem dowodzi profesjonalnego podejścia do problemów związanych z bezpieczeństwem użytkowników. Po usunięciu usterki korzystanie z portalu Allegro jest wolne od zagrożeń.
Wykrycie i zgłoszenie błędu jest częścią stałej akcji prowadzonej przez zespół Logicaltrust, mającej na celu podniesienie poziomu bezpieczeństwa polskich zasobów sieci Internet.
Screenshoty obrazujące usterkę znajdują się tutaj oraz tutaj.
2008-03-27
Wpisy archiwalne
Nowy design serwisu totolotek.pl
2008-07-09
Zgłoszona usterka w serwisie wykop.pl
2008-07-01
Wesołych Świąt Wielkanocnych!
2008-03-21
Po spotkaniu ISSA
2008-01-11
Spotkanie ISSA we Wrocławiu
2008-01-06
SecureCON 2007
2007-10-19
Wdrożenie systemu CMS dla firmy BilCert
2007-10-17
Projekt poprawy wizerunku KLM - oddany
2007-10-10
Wersja Alpha portalu Infopedia.pl
2007-10-10
Migracja baz w SBF.
2007-09-24
Szkolimy profesjonalistów!
Serdecznie zapraszamy do skorzystania z naszej oferty szkoleniowej.
Z IT BCE i Ciebie stać na sukces. Zainwestuj w edukację zapisując się na któryś z poniższych kursów:
Sidebar
POPRAWA CZYTELNOŚCI
Rozmiar tekstu: Większy +A Mniejszy -a
WSPARCIE
Sytuacja klinczu?
"When you need a solution right away it's a time bandit"
Craig Salinas
