XSS este un real pericol – Apache a invatat lectia

0

Unii dintre pasionatii de securitate probabil au auzit ca destul de recent cei de la Apache au fost tinta unui nou val de atacuri ce s-a soldat cu probleme destul de urate.

Mi-a placut foarte mult modul in care oamenii ce se ocupa de securitatea Apache au documentat si catalogat aceasta problema. Cred ca acest document reprezinta un bun exemplu in cazul in care esti unul din nefericiti.

”If you are a user of the Apache-hosted JIRA, Bugzilla, or Confluence, a hashed copy of your password has been compromised.”, avertieaza echipa de la Apache.

Cred ca cel mai interesant ar fi analiza stadiilor incipiente ale atacului – au fost detectate un atac de tip brute force si incercarea de a exploata o vulnerabilitate XSS.

The attackers via a compromised Slicehost server opened a new issue, INFRA-2591. This issue contained the following text:

ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX [obscured]

Tinyurl is a URL redirection and shortening tool. This specific URL redirected back to the Apache instance of JIRA, at a special URL containing a cross-site scripting (XSS) attack. The attack was crafted to steal the session cookie from the user logged-in to JIRA. When this issue was opened against the Infrastructure team, several of our administrators clicked on the link. This compromised their sessions, including their JIRA administrator rights.

Asadar, baietii care au drepturi foarte importante in administrarea Apache au deschis link-uri web suspecte, adrese ce au dus la pagini malformate ce abuzau de problema de securitate precizata mai sus. Se pare ca este foarte greu sa fim foarte atenti pe ce apasam. Regula de aur este sa ne asiguram de validitatea adreselor web ce le accesam. O data cu popularizarea scurtatoarelor de URL este tot mai greu si intradevar este „o pierdere de timp”. De asemenea, cei de la Tinyurl au un serviciu care permite activarea unui preview al adresei la care merge, dar s-ar parea ca nici unul din baietii afectat nu au avut-o activata. (pacat nu?)

Pentru toti baietii ce se ocupa cu securitatea si prefera sa lase pe maine ce pot face astazi, ganditi-va de doua ori daca codul vostru are sisteme de siguranta care sa rezolve aceasta problema. Sunt sigur ca nu vreti sa ajungeti urmatoarea tinta. 🙂

Etichete:

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.