Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Pofonegyszerű Facebook hack

2009.06.23. 20:23 | buherator | 8 komment

Lehetett felfordulás a Facebook főhadiszállásán, mikor az FBHive blogon ma megjelentek a közösségi oldal, a Digg és a Boing Boing vezetőinek személyes adatai. A Facebook-rajongó bloggerek olyan hibát találtak a szolgáltatásban, amely lehetővé tette bármely felhasználó "alapadatainak" - pl.  politikai és vallásos beállítottság - kinyerését, függetlenül attól, hogy ezeket az adatokat az idegenek számára is elérhetővé akarta-e tenni a profil tulajdonosa.


 

Miután a Facebook a bejegyzés megjelenését követően - két héttel az előzetes bejelentés után - javította a problémát az FBHive megmutatta azt a primitív trükköt, amely a kíváncsiskodást lehetővé tette: a profil szerkesztésére szolgáló űrlap elküldésekor egyszerűen át kellett írni a profilazonosítót, és a mentést követően máris elnék tárulhattak a kiválasztott személy adatai.

A Facebook sok támadáson túl van már, és ez sem regette meg alapjaiban a hálózatot, de jó ha néha eszünkbe jut, hogy a biztonságos programozási módszereken túl a fentihez hasonló logikai buktatókat is célszerű elkerülni.

Címkék: facebook

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

whocares11 2009.06.23. 21:54:43

Engem az izgat, hogy megnéztem a videón látott tamper data FF kiegészítővel a GMail bejelentkezést, és plain text-ben megy a jelszó.

buherator · http://buhera.blog.hu 2009.06.23. 22:14:05

@whocares11: Tamper Data != sniffer

Azaz nem azt látod vele, hogy mi megy a hálózaton, hanem hogy a böngésződ mit fog átadni (akár egy titkosított csatornán) a kiszolgálónak.

EQ · http://rycon.hu 2009.06.23. 23:59:30

máshol is plaintextbe megy a jelszó :) Ahol nem, ott meg teljesen mind1, mert ha már látta vki mi megy a hálón, akkor ugyanazt el tudja küldeni, és hiába nem tudja a jelszavad, a sessionöd, vagy bármit ami az auth(entikáció/orizáció)-hot kell megszerezte.

buherator · http://buhera.blog.hu 2009.06.24. 09:06:58

@EQ: Azért ha a csatornát megfelelően titkosítod (lásd SSL), akkor imho nem nagyon tudsz visszajátszani, csak ha a vételi oldalon minden előző blokkot/byte-ot változás nélkül elfogadnak, ebbe beleértve az összes protokolfejlécet és időbélyeget is.

ysombor 2009.06.24. 09:34:12

@buherator: Azért van annál jobb is, mint hogy "elküldöm a jelszavam és odaát megnézik, hogy jó-e": pont erre találták ki a CHAP-os authentikációt - ott jön a szervertől valami random kihívás, a kliens hozzávarázsolja a jelszót és azt küldi vissza. Jelszó se enkriptálva, se sehogy nem utazik önmagában a hálózaton.

Mondjuk ezt is el lehet rontani buta implementációval, lásd SMB relaying. :-P

buherator · http://buhera.blog.hu 2009.06.24. 09:39:55

@ysombor: Kösz, én is ismerem a módszert, pusztán arra próbáltam rávilágítani, hogy SSL-en küldött bármit visszajátszani necces.

EQ · http://rycon.hu 2009.06.24. 17:34:06

@buherator: tudom, nem is az ssl-rol beszéltem, lehet rosszul fogalmaztam, ahol nem plaintext a jelszó, hanem pl egy hash formában küldi stbstb.

manci65 2009.06.26. 09:37:48

Sziasztok! Nem kifejezetten ehhez a témához kapcsolódik kérdésem, de látom szakértők járnak ide. Nemzetközi internetes oldalon kártyajátékot játszom (kanaszta, de nincs jelentősége) és több ismerősömmel is az a véleményünk, hogy egyes játékosok valamilyen módon játék közben a mi lapjainkat is láthatják, érzékelhetik. ne nevessetek ki, nem a vereség fáj. Az érdekelne, hogy megfelelő antivírus és tűzfal kombináció használata esetén van e reális esély valamilyen kémprogrammal hasonló jellegű támadást indítani egy távoli gépről, illetve milyen módon lehet a támadás tényét felfedezni - ellene védekezni. Válaszotokat, javaslataitokat privát üzenetben is megköszönöm. mail:cicaman@freemail.hu Üdv:Manci