Artykuły dotyczące tematu: Deepak

dodany: 30.12.2012 | tagi: , ,

Strona HTC podatna na XSS

11

Thamatam Deepak odkrył podatność głównej strony znanego producenta smartfonów na atak Cross site scripting (w skr. XSS). Problem dotyczył konkretnie sposobu obsługiwania plików cookie, które pozwalały atakującemu przejąć konto ofiary ze strony HTC. Odkrywca ma zaledwie 16 lat i jest znany pod kryptonimem Mr. 47™. Atakujący mógł wstrzyknąć złośliwy skrypt, który pozwalał na nieautoryzowany dostęp do plików cookie i tokenów sesji.

Oto przykłady ataków XSS na powyższej stronie:

Na szczęście HTC szybko zareagowało i obecnie powyższe ataki nie są już możliwe do przeprowadzenia. Podatność na ten atak dotyczyła także strony Bezpieczeństwo produktów HTC (sic!).

htc login

Problem polegał na tym, że wystarczyło stworzyć konto na stronie HTC, potem zaimportować cookie z pliku tekstowego oraz wylogować się ze strony. Za pomocą ataku XSS było możliwe zdalne wykradanie plików cookie, które były wystarczające do zalogowania się (bez konieczności podawania hasła). Oczywiście było to możliwe do czasu wygaśnięcia ważności ciasteczka.

To nie było pierwsze odkrycie Deepaka – ma on na swoim koncie podobne odkrycie dotyczące strony Apple, o którym firma wspomina w swoich notatkach.