25. March 2007, 22:10, by Silvan Mühlemann

Sicherheitslücken entdeckt. Und behoben.

Lock on Network PlugAargh. Peinlich. XSS-Vulnerability auf tilllate.com! Da bilden wir uns laufend in Sachen Sicherheit aus (z.B. mit Ilia Alshanetsky‘s Buch, Shiflett’s Artikel im phpArchitect), haben interne Security-Richtlinien (den “Escaping Circle”), und Code-Reviews zur Qualitätssicherung. Und dann passiert uns sowas: Eine Sicherheitslücke wird entdeckt und öffentlich am Blogcamp bekannt gemacht.

Zum Glück wurde die Lücke innert wenigen Stunden geschlossen. Die vom Entdecker Benbit gesammelten Zungangskeys wurden ungültig gemacht. So konnte kein Schaden entstehen.

Cookie geklaut.

Benbit, welcher sich während seiner Präsentation hinter einer Sonnenbrille versteckt hatte, konnte demonstrieren, wie er sich das Cookie, welches den Autologin ermöglicht von einem Drittaccount beschaffen konnte. Wäre diese Information missbraucht worden und das Opfer auf eine entsprechend vorbereitete Seite gelockt worden, hätte man sich in das fremde Memberaccount einloggen können.

Mitarbeiteraccounts mit Administratorenreche waren durch diese Lücke nicht betroffen. Ebenfalls nicht möglich war die Übernahme der Session, da diese bei uns an die IP gebunden ist.

HTML einschleusen war möglich.

Die Lücke war ein fehlendes strip_tags()/htmlspecialchars() an zwei Stellen im Code. Es war möglich HTML-Code einzuschleusen. Ausserdem haben wir das REST-Paradigma verletzt. Etwas, das uns nicht passieren dürfte. Dass der betroffene Code aus einer Zeit stammte, als noch die Qualitätsrichtlinien an den Code niedriger war und der Code bei letzten Security-Check uns durch die Lappen gegangen ist, ist keine Entschuldigung. Auch dass dies Google oder Microsoft passiert ist, tröstet mich hier wenig.

Wir sind nicht perfekt

Da wir nicht perfekt sind und trotz Sorgfalt Sicherheitslücken nie ganz ausgeschlossen werden können, diskutieren wir im Moment ein Prämiensystem für Personen, welche Sicherheitslecks entdecken. Damit sie diese zuerst mir melden, bevor sie damit eine an die Öffentlichkeit gehen.

Inzwischen hat sich Benbit bei uns gemeldet und uns wertvolle Tipps zum Thema IT Security gegeben. XSS werden wir in Zukunft ernster nehmen. Ich denke, damit hat er sein Ziel erreicht.

Filed under: tilllate.com,Web Development

11 Comments

  1. […] Allerdings hat tillate dann reagiert und die Löcher (so sagen sie jedenfalls) gestopft. […]

    Pingback by Swiss Metablog » Christoph Blogger — 25. March 2007 @ 22:58

  2. […] Ich habe am Blogcamp einen Speech gehalten und dabei Live demonstriert, wie man sich einen Account bei Tillate einhacken kann. […]

    Pingback by [blog.benbit.ch] » Blog Archive » Ultimatum! — 25. March 2007 @ 23:37

  3. […] Dieses Verhalten kritisierten Unique-Avalon entsprechend, da wir das Vorgehen ethisch-moralischer Art nicht korrekt finden, den Aspekt der Rechtslage wollen wir mal gar nicht erst beurteilen. Verantwortungsvolle und Sicherheitsbewusste Administratoren benachrichtigen, unserer Meinung nach, zuerst das betroffene Unternehmen und machen Lücken, wenn überhaupt, erst nach deren Schliessung publik. Dank dem schnelle Handeln der IT-Verantwortlichen des Partyportals wurde die Lücke innert kürzester Zeit behoben – Es konnte weitgehend Entwarnung gegeben werden. […]

    Pingback by Benbit Ultimatum: Ein Hacker will seine verlorengegangene Anonymität erzwingen… - Unique-Avalon — 26. March 2007 @ 02:17

  4. Vielleicht sollte noch erwähnt verwenden, dass “Benbit” zum Dank bei tillate.com gesperrt wurde? :->

    Comment by Etallit — 26. March 2007 @ 07:59

  5. […] 2 – techblog.tilllate.com » Sicherheitslücken entdeckt. Und behoben. Die Antwort auf benbits Angriff anlässlich des BlogCamps. So soll es sein und so bringt Hacking etwas. Bravo! (tags: Hacking BlogCampSwitzerland) […]

    Pingback by Yoda’s Blog » Blog Archive » Gemerkte Links vom 26. 03. 2007 — 26. March 2007 @ 09:23

  6. silvan, erste sahne wie tilllate reagiert hat.

    Comment by kus — 26. March 2007 @ 17:00

  7. Danke, Kus. Ich reiche aber die Credits weiter an Stefan, Maarten, Markus, Christoph, André, Denis, Colin und nicht zuletzt auch Benbit (welcher sich sehr kooperativ gezeigt hat).

    Comment by Silvan Mühlemann — 26. March 2007 @ 17:11

  8. Ja so ist das… Wenn man eine Lücke entdeckt und diese Präsentiert, sollte man damit rechnen wenn alle über einen reden. Da gibt es halt auch solche die einen nicht mehr anonym erscheinen lassen. Dann noch zu erwarten das jemand im Internet auf solche Ultimatum eingeht… naja… Jedenfalls wollte ich nur sagen das der Blog von Benbit Offline geht…

    http://blog.benbit.ch/abschiedsbrief/

    War wohl doch alles ein bisschen zu viel…

    Grüessli usem AG

    P.S.: Ich bin echt stolz solche Entwickler im Team zu haben :)

    Comment by Kusi — 26. March 2007 @ 19:43

  9. Erstes Opfer des BlogCamp Switzerland…

    “Wie man sich mit einem Blog unbeliebt macht” hiess der Vortrag von Benbit am BlogCamp Switzerland. Und tatsächlich, der Titel ist nach wie vor aktuell, nicht nur weil er dort eine XSS-Lücke bei Tilllate aufgezeigt hat, sondern auch, w…

    Trackback by BloggingTom — 27. March 2007 @ 07:31

  10. […] This session has got some attention from all over the blogosphere. For more postings, check out slug.ch or blogug.ch. I have to bright the image up a little bit, but you still can not read the text on his slides. […]

    Pingback by BarCamp Switzerland » Blog Archive » benbit: Using XSS and live hacking tilllate.com — 27. March 2007 @ 12:01

  11. Super wie ihr reagiert habt, machen viele nicht so und macht euch gleich ein bisschen sympathischer.
    Das Prämiensystem fände ich gut, allerdings würden wohl sowieso ziemlich viele zuerst die Meldung an Tillate machen und dann erst publik machen..
    Gut dass ihr (jedenfalls konnte ich aus dem Text nichts von sowas entnehmen), nicht gleich mit Anwälten etc. gedroht habt..

    Comment by mix — 27. March 2007 @ 14:25

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

© 2017 tilllate Schweiz AG - Powered by WordPress