Teliad und das XSRF-Problem

28.09.2010 yahe legacy security thoughts

Schon mehrfach habe ich auf Dienste hingewiesen, die anfällig für XSRF-Attacken waren. Heute habe ich mir einmal angesehen, wie es mit der Sicherheit des Webmarketing-Anbieters "Teliad" aussieht.

Wie es der Zufall so wollte, war auch Teliad anfällig für genau die gleichen Attacken. Das besondere in diesem Fall ist die URL "/mein-teliad/mein-konto/stammdaten-aendern.html", denn anhand des Parameters "frmMetaData[intPage]" wird entschieden, ob die Kontaktdaten (inkl. Username und E-Mail-Adresse) oder aber die Bankdaten geändert werden sollen. Wie immer konnte diese Schwachstelle verheerende Folgen haben. Man konnte still und heimlich das Auszahlungsbankkonto ändern oder aber die E-Mail-Adresse und den Usernamen, um sich anschließend per "Passwort vergessen"-Funktion ein neues Passwort zuschicken zu lassen.

Da ich inzwischen schon mehrfach über XSRF-Attacken geschrieben habe, wollte ich nicht extra nochmal einen Artikel über das Problem verfassen. Die Antwort, die ich von Teliad zu dem Problem erhalten hatte, hat mich nun aber dazu veranlasst. In dieser wurde mir nämlich mitgeteilt, dass man die Webseite nach XSRF-Problemen hin überprüft habe und keine Lücken habe finden können. Weiterhin wurde mir mitgeteilt, dass serverseitig sichergestellt werden würde, dass das Versenden von gefakten Formularen nicht funktionieren würde. Schlussendlich wurde mir mitgeteilt, dass ich wahrscheinlich auf einen Sonderfall gestoßen sei, den man aber nicht näher spezifizieren wolle.

Das war natürlich alles ausgemachter Blödsinn. Es klaffte eine Lücke bei Teliad und man wusste trotz Hinweis anscheinend noch nicht einmal davon. Also schrieb ich nochmals eine E-Mail und teilte den Leuten mit, wo das Problem denn genau lag. Neuerdings wird nun bei den beanstandeten Formularen ein neues "Token"-Feld mitgeliefert, durch das der XSRF-Angriff verhindert werden kann. Auch, wenn der Weg in meinen Augen ein bisschen holprig war, freue ich mich, dass Teliad innerhalb weniger Stunden eine akzeptable Lösung für das Problem anbieten konnte.


Search

Categories

administration (40)
arduino (12)
calcpw (2)
code (33)
hardware (16)
java (2)
legacy (113)
linux (27)
publicity (6)
review (2)
security (58)
thoughts (21)
windows (17)
wordpress (19)