15 Antworten in diesem Thema

[Framerater]

HeyHo,

heute geht es mal um mehrere Sicherheitslücken in trivago.de. Es geht hier um genau 6 XSS Lücken auf 3 Seiten.

Was ist Trivago?

Ich lass mal Wikipedia ran:

trivago ist ein Reiseinformationsportal, welches über eine Metasuche an über 150 verschiedene Buchungssysteme wie zum Beispiel Expedia, Booking.com, otel.com, olotels.com oder Opodo angeschlossen ist und so die Angebote verschiedener Hotels vergleichen soll. Rund 600.000 Hotels können über diese Webseite gefunden werden. Eine Community erweitert die Suchergebnisse mit eigenen Erfahrungsberichten, Fotos oder anderen Informationen. Im Dezember 2012 wurde trivago mehrheitlich von Expedia übernommen. Trivago war die erste Hotel-Metasuchmaschine in Deutschlandund zählt europaweit 18 Millionen Besucher pro Monat. Auf Basis des im Dezember 2012 von Expedia vereinbarten Übernahmepreises von 477 Millionen Euro für 61,6 Prozent der Anteile errechnet sich eine Bewertung von 774 Millionen Euro für das Unternehmen.

Quelle:

Please Login HERE or Register HERE to see this link!

Die Lücken

Nachdem wir geklärt haben was Trivago eigtl. ist, falls das einer oder eine nicht wusste, können wir uns jetzt den Lücken zuwenden. Die Lücken sind in der Suche (Startseite und andere), im Login und in den Account Details zu finden. Fangen wir doch am besten mit der Lücke in der Suche an? Die Suche kann man wirklich nicht verfehlen. Einmal die Startseite aufgerufen und schon findet man dort die Suche. Einfach in dem linken Input, wo man die Stadt eingeben tut, unseren XSS Code eingeben und schon wird (denke ich) über Ajax eine Livesuche gestartet. Das bedeutet das wir nicht mal Enter drücken müssen. Falls man UNSEREN XSS Code nicht kennt, das wäre dieser:

<script>alert(/secure-sites.de/);</script>

Der Code funktioniert aber nicht immer. Also nicht wundern falls er auf anderen Seiten nicht funkt. Das Ergebnis hier nocheinmal im Bild:



Soviel zur ersten Lücke. So wo sind denn die anderen Lücken versteckt? Die nächste Lücke ist im Login versteckt. Hier schonmal im Bild:



Um diese Lücke auszuführen, müssen wir oben rechts im Bild auf Einloggen klicken und dann nochmal auf Einloggen. Es öffnet sich ein Fenster, welches sich über die Seite als ???Layer??? sag ich mal legt. Dort ist der Input der für die E-Mail/Nutzername/Alias verantwortlich ist verwundbar. Dort würde unser XSS Code den wir oben benutzt haben schon nicht mehr funktionieren. Wir müssen diesmal eine kleine Abweichung des Codes nutzen. Und zwar schließen wir den ersten Tag und öffnen dann erst unseren XSS Code den wir oben benutzt haben. Damit kann man das ein oder andere mal zum Erfolg kommen, auch wenn der andere Code versagt hat. Und zwar schaut der Code dann im Ergebnis so aus:

"><script>alert(/secure-sites.de/);</script>

Wir können ja mal schauen wir das im Quellcode ausschaut oder? Dazu einfach Strg+U und schon sehen wir dort zuerst unseren Input Code:

<input id="email" class="textfield" type="text" value="" spellcheck="false" autocapitalize="off" autocorrect="off" autocomplete="off" name="_username" tabindex="1"></input>

Dann haben wir unser Script und dann kommt dieser ???verirrte??? Code sage ich mal:

"/>

Soviel zu unserer 2. Lücke. Jetzt kommen wir noch zu der 3. Seite, auf der auch wieder 3 Lücken warten. Und zwar müssen wir uns dazu erst einmal einloggen bzw. registrieren. Nachdem wir uns eingeloggt haben, klicken wir auf unseren Usernamen und dann auf Accounteinstellungen. Dort im Layer dann unter Accountdetails auf Name, E-Mail & Passwort. Dort sehen wir jetzt 4 Input Felder. Alle außer das Input vom Passwort sind verwundbar. Wir müssen wieder unseren abgewandelten Code benutzen.

Das Endprodukt schaut dann so aus:



Der Support wurde mehrmals angeschrieben. Über Facebook sowie per Email. Keinerlei Fixes. Einmal schrieb man mir das man sich melden werde. Das ist auch schon ne halbe Ewigkeit her.

Alle Credits an: Maurice Woitzyk

Quelle:

Please Login HERE or Register HERE to see this link!

MfG,

Framerater

[B1nary]

Der Support wurde mehrmals angeschrieben. Über Facebook sowie per Email. Keinerlei Fixes. Einmal schrieb man mir das man sich melden werde. Das ist auch schon ne halbe Ewigkeit her.

Jop, das kenn ich! Manchmal glaub ich echt, dass die Leute das nicht ernst nehmen...aber dann rum heulen, wenn die Page defaced wird und 10k Kundendaten durch das Internet geistern.
Wie sagt man so schön: lernen durch Schmerz!

Thx @Framerater!

[Framerater]

Hab ich gern gepostet, falls Interesse besteht poste ich gern weitere Artikel von secure-sites.de.

Ich finde die Webseite ziemlich gut, der Herr Woitzyk weiß was er macht

Er hat übrigens noch weitere Lücken bei anderen größeren Seiten gefunden (Stern.de n24 usw.), einfach mal die Seite besuchen

MfG,

Framerater

[FalkE]

Ja Herr "Woitzyk" weiß was er macht, allerdings finde ich die XSS Lücken jetzt nicht berauschend.

[Framerater]

Naja, um berauscht zu werden trinkt man normalerweise ein Bier. .png' class='bbc_emoticon' alt='^^' />

Sobald du XSS-Lücken auf größeren Webseiten findest, dann kannst du sie ja posten und zeigen was du kannst

[FalkE]

Nun das habe ich bereits. Würde ich alles was ich finden würde, ausgeschmückt posten (+ Randinformationen / Wikipedia Zitate etc.) könnte ich gleich einen Blog wie Herr Woitzyk führen. Nur frage ich mich was ist der Sinn eines solchen Blogs ?

- Die Firma über ihre Lücke informieren? (macht er ja nebenher)
- Die Leute über die Lücke der Firma zu informieren (sollte er sich eher an die Nachrichten wenden)
- Die Hackinggmeinde über die Lücke informieren (was er ja mehr oder weniger macht, dient eigentlich nur dazu um zu zeigen: "Hey ich habs drauf guck mal hier")

Und genau letzerer Punkt geht mir auf den Senkel, irgendwann ist man doch aus dem Alter raus, Defacing, 1337 Sprüche, das hat man in seiner Jugend gemacht.
Diese Meldung ist für mich eben absolut nicht berauschend. Sie bedarf keiner News, die Lücke könnte auch von einem XSS - Noob stammen:

<script>alert(/secure-sites.de/);</script>

Er erwähnt nichtmal warum er / statt " / ' genommen hast, sprich auch für Leute die was lernen möchten ist diese News irrelevant.
Im Endeffekt, kann man nurnoch von Werbung sprechen, aufgehübscht mit Wikipedia Artikel um nochmal zu unterstreichen wie toll er seine Arbeit macht / wie bekannt die Seite ist, er hats geschafft ...

Wie ich sehe sind alle seine gemeldeten Lücken fixed. Warum finde ich hier noch eine stored die jeder Anfänger finden könnte ?


Ich möchte niemanden auf die Füße treten, aber das musste mal gesagt werden.

Bearbeitet von FalkE, 29 May 2014 - 17:17 Uhr.

[Framerater]

Aus dem Beitrag kann ich lesen, dass du dich fragst wieso er das macht.

Er ist ein Whitehat, dass heißt er will den Unternehmen helfen, wenn die Unternehmen allerdings nicht reagieren, dann postet er es halt.

Und an die Nachrichten muss er sich nicht wenden, sowas ist für ihn, für dich und für mich nur ein Hobby und kein Beruf.

Er hat als Beispiel bei der Stern.de XSS-Lücke einen Beitrag bei boerse.bz eröffnet, nachdem sich das Unternehmen nach Wochen nicht gemeldet hat, wurde die Lücke geschlossen.

Und nicht jeder ist gleich ein Angeber, weil er einen Blog führt und dort XSS-Lücken postet, vielmehr soll es etwas informieren.

Jetzt kommen wir zum Aufbau, den Wikipedia Artikel hat er nur gepostet, damit er informiert, was trivago.de ist.

Wenn ich dir jetzt irgendeine Webseite auf der Welt nenne, dann weißt du ja nicht automatisch was die für Content hat, oder?

Und wenn du ausführliche Beschreibungen suchst, warum er das und nicht das und das genommen hat, dann frag es ihn doch selber. News sollten immer oberflächlich gehalten sein, in einer Zeitung liest du ja auch nur vom Ukraine Konflikt und nicht vom ganzen drumherum, wie die politschen Interessen, warum zur Hölle Klitschko jetzt dort ist usw.. .png' class='bbc_emoticon' alt='xD' />

Und wegen der noch gefundenen Lücke:

Sagen wir mal eine Webseite hat 10 Lücken, wenn du jetzt 9 findest, dann hast du doch keine Lust wegen der 1 nicht gefundenen genervt zu werden...

Und du hast ja niemanden auf die Füße getreten, Feedback ist immer erwünscht. Aber Fragen stellt man dem Autor persönlich und nicht demjenigen, welcher die News auf einem anderen Board postet, dafür gebe ich ja immer die Quelle an.

[FalkE]

Ein Whitehat publiziert eine Lücke ? Entschuldige das ergibt wenig Sinn. Man kann alles so oder so betrachten, aber wer sich Whitehat bezeichnet postet keine öffentliche Lücke + Inject damit irgendwer mit dem spreaden anfangen kann.

Ich möchte nur klarstellen und dich als Autor lasse ich da auch außen vor, du hast nur Partei ergriffen, weswegen ich dich mit einbeziehe.

[Cube]

Ein Whitehat publiziert eine Lücke ? Entschuldige das ergibt wenig Sinn. Man kann alles so oder so betrachten, aber wer sich Whitehat bezeichnet postet keine öffentliche Lücke + Inject damit irgendwer mit dem spreaden anfangen kann.

Ich möchte nur klarstellen und dich als Autor lasse ich da auch außen vor, du hast nur Partei ergriffen, weswegen ich dich mit einbeziehe.

Auch Whitehats posten Lücken.
Allerdings nur dann, wenn diese auch seit einiger Zeit schon gemeldet sind.
Wenn dies nicht so wäre, würde man die Existenz von Whitehats schwer erklären können haha.
Sollte das Unternehmen nicht auf die Aktion reagieren steht es dem Hacker doch zu den Fehler öffentlich zu machen.
Das hat nichts mit Angeberei zu tun, sondern lediglich mit der Dummheut der Organisation...

Aber anscheinend gehen hier die ethischen Meinungen auseinander

[FalkE]

Muss ich jetzt wirklich die Definition zitieren ?
Wer sich als Whitehat bezeichnet sollte auch wissen durch was sich ein Whitehat definiert :

White hat describes a

Please Login HERE or Register HERE to see this link!

(or, if you prefer,

Please Login HERE or Register HERE to see this link!

) who identifies a security weakness in a computer system or network but, instead of taking malicious advantage of it, exposes the weakness in a way that will allow the system's owners to fix the breach before it can be taken advantage by others (such as

Please Login HERE or Register HERE to see this link!

hackers.)

[Cube]

Gut haste recht.
Meine Definition kommt eher einerm Grey Hat nahe -->

Please Login HERE or Register HERE to see this link!

Peace

[B1nary]

Einen Whitehat zu definieren ist genauso, wie die ewige Szene-Diskussion, was denn genau ein Hacker ist oder viel mehr: WANN man ein Hacker ist.
Und ob Wikipedia da so weiterhelfen kann? Letztendlich ist es ja nur ne Einstellungssache, oder?

Ich glaube nicht, dass

<script>alert(/secure-sites.de/);</script>

weder für secure-sites.de noch für irgendjemand von uns, der auf die Art und Weise ne XSS-Lücke postet, der Weisheit letzter Schluss ist.
Anhand des Alerts kann man das halt nur gut demonstrieren...

[FalkE]

Natürlich ist Whitehat etc definiert, diese Begriffe wurden erfunden um ein wenig Regel in die Szene zu bringen.
Der alert hat damit absolut nichts zutun. Die Lücke ist simpel, ich glaube nicht das du verstanden hast auf was ich hinaus möchte.

[B1nary]

Doch, ich geb dir auch sogar recht

[SAR]

Sind nicht XSS-Lücken besonders interessant um Cookies zu stealen?
Besonders interessant sind natürlich die Dienste, die Daten via GET übertragen. Da kann man dann einen wunderbaren Link zaubern, der den Cookie irgendwo anders überträgt (einfach ein eigenes Script injecten). Am Besten noch den Link shorten und es ist perfekt. Deswegen kotzt es mich auch immer an, wenn ich so einen gekürzten Link sehe. .png' class='bbc_emoticon' alt='^^' />


Mfg.
SAR

Bearbeitet von SAR, 29 May 2014 - 20:23 Uhr.

[FalkE]

Ging eher um die Berichterstattung und weniger um eine XSS Lücke ansich. Natürlich sind XSS Lücke interessant und gefährlich