Vor wenigen tagen wurde ich auf eine Sicherheitslücke auf der Seite S
pielmit.com aufmerksam gemacht.
Nach kurzem Nachforschen und ersten besuchen der Seite mittels TOR, dachte ich mir dies ist auf jeden Fall ein kurzer Bericht wert. Die Seite benutzt an mehreren Stellen einen Texteditor. An allen Stellen an denen dieser Texteditor benutzt wird kann der XSS Code eingeschleust werden. Die Ursache der Schwachstelle ist die Nutzung einer sogenannten blacklist anstatt einer whitelist bei der Prüfung der
(Abbildung: XSS Test in Aktion auf Profil)
Nutzereingaben über eben diesen editor.
Die Betreiber von spielmit.com wurden über diesen umstand von mir schon aufmerksam gemacht doch leider kommt von dieser Stelle keine Antwort. Ebenfalls sind die folgenden Lücken nicht behoben worden. Die Nutzer dieser Platform haben aber ein Recht zu erfahren wie unsicher dieses Spielportal ist!
Das besondere an dieser Seite: Sobald ein Benutzer das Automatische Login Aktiviert so werden folgende cookies gesetzt:
cookie_password: enthält Passwort im Klartext!
cookie_username: enthält Benutzername
Das heißt sobald ich ein cookie von einem Benutzer besitze welcher sich automatisch einloggt so kann ich mich immer wieder einloggen da ich alle Informationen besitze! Na endlich mal eine Seite wo es um Geld geht und es den Verbrechern leicht macht ;)
(Man muss sagen leider gehört es bei vielen Seiten zum Standard dass bei auto login die Zugangsdaten im klartext in einem cookie stehen)
Desweitern kann man auf dieser Seite über das Message System den Schadenscode weiterverbreiten, so ist es möglich Cookie Stealer auf allen Profilen der Seite zu installieren, was dann logischerweise zu einer message flut auf dem System führt, das wiederum dürfte den Betreiber nicht gerade erfreuen. Komisch das solche Lücken nicht geschlossen werden !!! ???
Hier nochmals ein kleiner Screenshot welcher ein Test XSS Code in aktion zeigt:
Ich habe ebenfalls mit den XSS Codes auf Spielmit experimentiert. Und die Ergebnisse sind katastrophal. Es ist möglich automatisch messages zu versenden ohne dass der Benutzer etwas merkt. Und sobald man das cookie von Spielmit hat, so hat man zumindest vollen Zugriff auf alle Daten inklusive Coins, Adresse etc.
Der Fachkundige Anwender kann auf spielmit.com den Schadenscode auch so implementieren dass allein das betrachten eines Benutzerprofils oder einer Nachricht ausreicht um das Opfer zu infizieren und die Daten zu versenden.
Im Test war es mir auch möglich komplexen Script Code über die Seite einzuschleusen und diesen erst später mittels JavaScript in einen Script tag ordentlich eingebettet. Denn das script tag ist standardmäßig auf der Blacklist bei spielmit.com ;)
Aufmerksam gemacht wurde ich auf diesen Umstand durch einen Leser meines Blogs. (Solltest du namentlich erwähnt werden wollen, bitte nochmals kurze mail an mich ;) ) Hier nochmal ein Dankeschön an den Leser.
So lange diese Sicherheitslücke noch offen ist würde ich abraten dort Geld einzuzahlen. Denn dass könnte recht schnell weg sein. Sobald die Lücke geschlossen ist werden die Codes dazu ins Netz gestellt.
pielmit.com aufmerksam gemacht.Nach kurzem Nachforschen und ersten besuchen der Seite mittels TOR, dachte ich mir dies ist auf jeden Fall ein kurzer Bericht wert. Die Seite benutzt an mehreren Stellen einen Texteditor. An allen Stellen an denen dieser Texteditor benutzt wird kann der XSS Code eingeschleust werden. Die Ursache der Schwachstelle ist die Nutzung einer sogenannten blacklist anstatt einer whitelist bei der Prüfung der
(Abbildung: XSS Test in Aktion auf Profil)
Nutzereingaben über eben diesen editor.
Die Betreiber von spielmit.com wurden über diesen umstand von mir schon aufmerksam gemacht doch leider kommt von dieser Stelle keine Antwort. Ebenfalls sind die folgenden Lücken nicht behoben worden. Die Nutzer dieser Platform haben aber ein Recht zu erfahren wie unsicher dieses Spielportal ist!
Das besondere an dieser Seite: Sobald ein Benutzer das Automatische Login Aktiviert so werden folgende cookies gesetzt:
cookie_password: enthält Passwort im Klartext!
cookie_username: enthält Benutzername
Das heißt sobald ich ein cookie von einem Benutzer besitze welcher sich automatisch einloggt so kann ich mich immer wieder einloggen da ich alle Informationen besitze! Na endlich mal eine Seite wo es um Geld geht und es den Verbrechern leicht macht ;)
(Man muss sagen leider gehört es bei vielen Seiten zum Standard dass bei auto login die Zugangsdaten im klartext in einem cookie stehen)
Desweitern kann man auf dieser Seite über das Message System den Schadenscode weiterverbreiten, so ist es möglich Cookie Stealer auf allen Profilen der Seite zu installieren, was dann logischerweise zu einer message flut auf dem System führt, das wiederum dürfte den Betreiber nicht gerade erfreuen. Komisch das solche Lücken nicht geschlossen werden !!! ???
Hier nochmals ein kleiner Screenshot welcher ein Test XSS Code in aktion zeigt:
Ich habe ebenfalls mit den XSS Codes auf Spielmit experimentiert. Und die Ergebnisse sind katastrophal. Es ist möglich automatisch messages zu versenden ohne dass der Benutzer etwas merkt. Und sobald man das cookie von Spielmit hat, so hat man zumindest vollen Zugriff auf alle Daten inklusive Coins, Adresse etc.
Der Fachkundige Anwender kann auf spielmit.com den Schadenscode auch so implementieren dass allein das betrachten eines Benutzerprofils oder einer Nachricht ausreicht um das Opfer zu infizieren und die Daten zu versenden.
Im Test war es mir auch möglich komplexen Script Code über die Seite einzuschleusen und diesen erst später mittels JavaScript in einen Script tag ordentlich eingebettet. Denn das script tag ist standardmäßig auf der Blacklist bei spielmit.com ;)
Aufmerksam gemacht wurde ich auf diesen Umstand durch einen Leser meines Blogs. (Solltest du namentlich erwähnt werden wollen, bitte nochmals kurze mail an mich ;) ) Hier nochmal ein Dankeschön an den Leser.
So lange diese Sicherheitslücke noch offen ist würde ich abraten dort Geld einzuzahlen. Denn dass könnte recht schnell weg sein. Sobald die Lücke geschlossen ist werden die Codes dazu ins Netz gestellt.
Kommentare