Ads 468x60px

torstai 6. lokakuuta 2011

American Express XSS'd

Satuin lukemaan ruotsalaisen tietoturvablogaajan Nilklas Femerstrandin kirjoituksen, jossa hän esittelee American Express -luottokorttifirman kotisivuilta löytämäänsä cross-site scripting (XSS) -haavoittuvuutta.

Haavoittuvuus löytyi näin:
  1. American Expressin sivustoilta löytyi Internetiin avoinna oleva admin-konsoli.
  2. Konsoliin tutustumalla selviää, että sivuston debug-ominaisuudet saa käyttöön lisäämällä "debug"-lipun URL-osoitteen perään. Tällöin sivustolla näytetään JavaScriptillä toteutettu debug-konsoli: (https://www.americanexpress.com/?debug)
  3. Kuten tyypillistä, debug-toiminnallisuuden syötteenkäsittely on olematonta, jolloin XSS saadaan laukaistua lisäämällä JavaScript-koodia heroOverride-parametriin.

Vaarallisinta koko haavoittuvuudessa on se, että injektoitua koodia kutsutaan silmukassa jatkuvasti. Haavoittuvuutta hyväksikäyttäen voisi siis toteuttaa helposti monenlaisia hyökkäyksiä (CSRF, istuntotunnisteiden varastus jne.) Amexin tai kolmannen osapuolen verkkosivuja vastaan.

Femerstrand yritti ilmoittaa haavoittuvuudesta American Expressille Twitterin välityksellä, jolloin ilmeni että Amex hyväksyy sähköpostia vain kortinomistajilta. Haavoittuvuus kuitenkin varmaan korjataan nopeasti, joten alla vielä kuvakaappaus epäuskoisille.

1 kommentti:

Mika Laaksonen kirjoitti...

Vanha kunnon admin-konsoli;) Tossa ei kyllä ole noudatettu PCI-vaatimuksia ja OWASP-suosituksia, eikä varmistettu niiden noudattamista. Osoittaa jälleen miten vaikeaa on olla "compliant" tai antaa lausunto siitä, että joku on...

Lähetä kommentti