Jysk teenager hacker expert.dk - slipper med straf fra mor

En teenager udnytter XSS-sårbarhed på Experts hjemmeside til at sende kunder videre til sin egen side.

En teenager fra Jylland hackede i morges Experts hjemmeside efter selv at have advaret Expert om hullet dagen forinden. Det tog derfor ikke Expert lang tid at lægge to og to sammen og finde frem til synderen. Det skriver Ekstra Bladet.

Under andre omstændigheder ville den unge mand på omkring 17 år kunne se frem til en alvor snak med politiet og en dom for it-kriminalitet, men i denne omgang bliver det en løftet pegefinger fra mor i stedet.

»Normalt ville vi melde sådan noget til politiet, for det har jo både kostet penge, tid og bøvl, men vi har valgt at afvente situationen og først tage fat i hans forældre,« udtaler Experts pressechef, Henrik Rivera Hansen, til ekstrabladet.dk.

Version2 har modtaget en maildokumentation for hacket, der var udført ved hjælp af cross site scripting. I skrivende stund ser det dog ud til, at Expert har lukket hulltet.

Den unge hacker brugte sit nyfundne sikkerhedshul til at sende kunder, som ville læse anmeldelser, ind til sin egen hjemmeside.

»Det lader til at være en ung mand, der er god til computere, prøver grænser af og ikke er klar over, hvad konsekvenserne af den slags kan være,« udtaler Henrik Rivera Hansen, som håber, at teenageren fremover vil bruge sine it-evner på lovlig vis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (12)

Kommentarer (12)
Thomas Hansen

Sådan skal det håndteres.

Vi må lige vinke med hatten over, at knægten ikke lage hacket ud til almindeligt (mis-) brug.

Christian Jensen

Hjemmesiden var ikke hans egen. Den linkede blot til PasteHTML. Som jeg tvivler på at han ejer.
Ved ikke hvor troværdig artiklen er. Lyder lidt til at der var er blevet skrevet, det som de regner med er sket.

Andreas Thiele

Først: Sådan! God håndtering.

Dernæst:
En XSS-fejl kan da overleves. Især når den kun bruges til at redirecte folk til en anden hjemmeside.

Det samme kan klares med en del Drupal-installationer uden brug af XSS. Drupal anvender:
http://drupalhjemmeside.domæne/?q=redirectside
Og hvis man da er bare lidt kreativ, indser man hurtigt:
http://drupalhjemmeside.domæne/?q=http://google.com
Vil redirecte til google.

(Dog et lille kudos til version2 for at have lukket det hos dem. Mange andre steder er det pivåbent...)

Hans-Michael Varbæk

Normalt ville vi melde sådan noget til politiet, for det har jo både kostet penge, tid og bøvl, men vi har valgt at afvente situationen og først tage fat i hans forældre,« udtaler Experts pressechef, Henrik Rivera Hansen

Bøvl? Det tager maks. 30 minutter at fikse, og det inkluderer endda fjernelse af cross-site scriptet fra databasen eller en dynamisk fil (i tilfælde af det bruges), og så "sanitize" user-input på korrekt vis som de burde have taget seriøst fra starten.

Men det er da altid noget de ikke har anmeldt knægten for hacking, som måske kunne have fået en lille bøde for noget ala vandalisme. (Han har jo ikke fået adgang til oplysninger / information som han ikke er berettiget til at se, og han har heller ikke brudt ind på serveren, så det er jo relativt lidt straf han ville kunne få, i forhold til straffeloven i det her tilfælde.)

Fremover opfordrer jeg da knægten til at lade være med at deface hjemmesider da det er uetisk (unethical) og "script kiddie"-agtigt. Men hvis han gerne vil informere hjemmesider om deres sikkerhedshuller er det nok en god idé at tænke lidt mindre i prestige eller penge, og så sende dem anonymt via nye e-mail konti, da Danmark generelt har et problem med fordomme overfor hackere, også dem på den gode side som prøver på at hjælpe.

Hvis han havde berettet en lignende fejl til Facebook eller Google, så havde han hvis fejlen / sikkerhedshullet blev accepteret, fået en dusør i form af et par tusinde kroner måske, og kommet på den "gode hacker liste" over folk som har hjulpet dem. I Danmark? Der bliver man beskyldt for at være ondsindet og hacke virksomhederne, medmindre man har formuleret sig så godt som muligt og slået fast det er for at hjælpe virksomheden, men der er selvfølgelig nogle virksomheder, især IT-sikkerheds virksomheder som tager det ekstremt personligt og som truer med sagsanlæg.

Men hvis knægten læser det her kan han da prøve at begynde krafter med Hatforce, som er crowd-sourced IT-sikkerhed, hvor han godt må finde diverse XSS sårbarheder, mm., men han må selvfølgelig ikke misbruge sikkerhedshullerne og f.eks. "deface" hjemmesiden. (Og ikke nok med det, hvis han finder "gyldige bugs" så får han penge for det, w00t w00t?)

Christian Jensen

Hej Michael,

Tak for det positive feedback.

Nej, jeg kan heller ikke forstå hvis det skulle tage så lang tid. Ved ikke hvordan det fungere på ASP, men hvis det var PHP, så skulle de jo bare bruge htmlspecialchars() inden de bruger echo på min kommentar.

Og nej, jeg kunne jo ikke se noget privat. Alt der blev gjort, var jo at jeg skrev en lille simpel Javascript kode.

Jeg kunne ligeså godt have stjålet cookies, uden at de ville have lagt mærke til det, i stedet lavede jeg bare en simpel HTML fil, lagde den op på PasteHTML, og brugte window.location til at få brugeren derind.

Men ja. Havde fortalt dem om sikkerhedsproblemet en måned forinden. Den 11. Februar mindes jeg at det var. Men de gjorde ikke noget ved det. Det gjorde de da nu!;)

PS: Nej, mit rigtige navn er ikke Christian Jensen.

Hans-Michael Varbæk

Tak, men jeg hedder nu Varbæk til efternavn :-) Man kan lave meget mere end at stjæle cookies, det er næsten en "uddateret" måde at bruge XSS på, selvom det stadigvæk virker på de fleste sites, medmindre HttpOnly er sat i cookies. Beef er et eksempel hvor hvad man kan, selvom "custom payloads" man selv har skrevet, kan som regel meget mere, f.eks. det her payload som er skrevet til vBulletin: http://www.exploit-db.com/vbseo-from-xss-to-reverse-php-shell/

Som 88069 også siger, så kan det også bruges til drive-by / browser exploit kits såsom Blackhole, osv., hvor det generelt er mere den brede flade af brugere på hjemmesiden der angribes, end selve administratorerne. (Man kan selvfølgelig også håbe på administratorerne bliver kompromiteret denne vej, men det er langt fra lige så effektivt som et skræddersyet payload som automatisk tilføjer en PHP fil og som laver en "reverse-tcp" connection tilbage til angriberen, som så kan gå videre derfra.)

I tilfælde af at du eller andre skulle være mere interesseret i XSS er der også basis guiden her: http://forum.intern0t.org/offensive-guides-information/4100-beginners-gu... som også ligger på sider såsom xssed.com

Du er selvfølgelig velkommen til at kigge forbi intern0t så længe du bare følger reglerne og ikke diskuterer uetisk / ulovlig hacking.

Andreas Thiele

Ja, absolut, men XSS kræver bare en del ting, før det bliver farligt:
- Et sikkerhedshul på siden (Duh...)
- At brugere selv klikker ind på siden
- At brugeren er attraktiv. Det skal forstås på den måde, at der skal være noget at hente, ved at hacke brugeren. Det værende spændende cookies, upatchet computer eller hvad man nu er til.

Derimod er eksempelvis en SQL injection nemmere at udføre, da den kun kræver et sikkerhedshul på siden. Desuden kan de være svære at spotte, afhængig af hvad der er blevet gjort.

Hans-Michael Varbæk

De fleste hjemmesider, har dog oftere XSS problemer end SQL Injection problemer nu til dags. (Der er dog stadigvæk masser af hjemmesider der har SQL Injection problemer, men det ses oftere at det er CSRF/XSRF og XSS der er hovedproblemet.)

Det med hvem der er "targets" siger ofte sig selv: Går man efter administratorerne af siden, eller går man efter dens brugere. Ligemeget hvad, er begge attraktive, og ligemegt hvad, vil administrorer klikke ind på siden, og det vil brugerne også. Ligesom her på Version2.

Det eneste XSS kræver er en smule mere arbejde og snilde, plus lidt cool opfindsomhed til at hente sejren helt hjem, medmindre man altså bare smider en iframe ind til et exploit-kit som blackhole.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017