Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Bron: C|Net, submitter: iyanic

Microsoft heeft afgelopen weekend een gedeelte van zijn MSN-website offline gehaald nadat het bedrijf vernomen had dat het mogelijk was om via een omweg toegang te verkrijgen tot Hotmail-accounts. De website http://ilovemessenger.msn.com/ bevatte een zogenaamde 'cross-site scripting'-lek, aldus een woordvoerder van het bedrijf maandag. Via dit lek was het mogelijk om de beschikking te krijgen over cookies van andere gebruikers door hen ertoe te bewegen naar een bepaalde webpagina te surfen. Met behulp van deze cookies was het vervolgens mogelijk om toegang te krijgen tot de e-mailaccounts van andere gebruikers.

Het lek in MSN's site was afgelopen vrijdag bekendgemaakt door Alex de Vries op de Nederlandse site Net-Force. Het vinden van het lek kostte De Vries anderhalf uur, aanzienlijk langer dan het vinden van vergelijkbare lekken op enkele andere sites. Nadat Microsoft van het lek op de hoogte was gesteld, is de 'I Love Messenger'-site offline gehaald. Deze zal weer online komen als het lek is opgelost, zo heeft MSN in een reactie laten weten. Enkele weken geleden had Microsoft te maken met hackers die via scripts op de Zuid-Koreaanse MSN-site probeerden de hand te leggen op wachtwoorden van het online spel Lineage.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (45)

Dit lijkt me puur een kwestie van laks programmeren.
Cookies kun je zetten per domein-naam. Als je bij het maken van een cookie aangeeft dat het cookie voor www.hotmail.com is, zal de browser het cookie alleen meesturen bij het ophalen van de pagina, als je op www.hotmail.com zit.
Als de domain-path is ingesteld op msn.com, wordt hij ook meegestuurd als je surft naar ikwiljecookie.msn.com

Of zou het lek iets ingewikkelder zijn? :)
Ja, want daar komt cross-site scripting nou juist om de hoek kijken :). Dan kan een andere gebruiker code laten uitvoeren (dat bijvoorbeeld in de url meegegeven is) in jouw browser op de site waar het nou eigenlijk om gaat. Waardoor een andere gebruiker dus toegang krijgt tot je cookies van die site :p. Ok beetje brak uitgelegt maar het klopt wel ongeveer :+.
Inderdaad ja.
Dat probleem zie je vooral bij sites waarbij bepaalde content wordt meegegeven via de URL, meestal een kopje van een pagina.

Overigens wordt je sessie, ook bij Hotmail, een je gekoppeld door middel van een cookie.
Beetje raar overigens dat deze zo simpel te "hijacken" is. Maar een sessievar aan waarin je het IP-adres van de ingelogde persoon opslaat, en vergelijk die met het sessie ID welke je via het cookie binnen krigjt. Maar ja, dat ben ik :)
En wat dan met mensen die gebruik maken van een proxy server? Niemand garandeerd dat al je requests van hetzelfde IP adres afkomstig zijn.
Maak je een goed punt.
Dan pak je de volledige browsernaam, het IP-range, of een combinatie :)
Ook dat hoeft niet per definitie te werken, er zijn immers ook proxy's die de browser signature aanpassen.

Het gebruik van cookies is naast het gebruik query-string-munging eigenlijk een van de weinige manieren om vast te stellen dat je met dezelfde gebruiker te maken hebt.
Crossside scripting heeft niks met cookies te maken, maar met de mogelijkheid tot het uitvoeren van code(javascript) op het domein van een ander.
Een gevolg daarvan is idd dat je daarmee de cookie van een ander op kan vragen..

In een img tag, kun je al code uitvoeren als het niet is afgevangen:

<img src="javascript:alert('test')">
Cross-site scripting heeft vaak tot doel het bemachtigen van een cookie. Dus ze hebben zeker wel met elkaar te maken.
Javascript: binnen <img> tags werkt niet in de Mozilla en Opera browsers. Daarnaast is je definitie van XSS iets te smal; ook HTML injectie wordt eronder gerekend. Denk daarbij aan het bijplaatsen van reclamebanners, etc.

//edit: dit was een reactie op interaddict
Je vergeet dat Hotmail met Passport authenticatie werkt.
Dus een cookie vaszetten op hotmail.com zou totaal zinloos zijn.
Helaas wel. Hotmail draait namelijk niet op 1 servertje. Er moet dus vanaf verschillende adressen het cookie gelezen worden.
Of zou het lek iets ingewikkelder zijn?
Blijkbaar wel:

Het lek in MSN's site was afgelopen vrijdag bekendgemaakt door Alex de Vries op de Nederlandse site Net-Force. Het vinden van het lek koste De Vries anderhalf uur, aanzienlijk langer dan het vinden vergelijkbare lekken op enkele andere sites.
>>>Dit lijkt me puur een kwestie van laks programmeren.

misschien,wat mij opvalt is dat je de nieuwe messenger niet eens meer kan afsluiten als je explorer of outlook nog open hebt staan,.... sorrie maar dan ga ik me ook dingen afvragen...

Beats me if there is a use for that....
Wat ik me afvraag is of MS mr Alex de Vries bedankt heeft voor de gewezen lek,
al dan niet in een vorm van een bloemetje, game uitkiezen, misschien xbox, deze kost bijna niks meer.
Het is toch een fout die serieuze gevolgen kon hebben, en deze meneer heeft het netjes opgelost.
Ik heb enige tijd geleden een JavaScript insertion lek gevonden in Hotmail. Heb het destijds ook aan MS doorgegeven. Krijg ik nou ook een eigen FP bericht? :Z of een bloemetje, of game misschien xbox, want die kosten bijna niks meer :Z
Geld kan ik je niet geven, maar wel eeuwig respect dat je dit netjes hebt afgehandel :)
Mooi gevonden trouwens
Dank u!!!
Ach ik wil graag zelf aan de slag in de beveiliging. Ik geef geen ruchtbaarheid aan de gaten die ik vind, maar documenteer ze op m'n eigen site en geef het door aan de maker van de website / software. Zo bouw ik een beetje m'n eigen CV op.
En wat ik me afvraag is waarom mr Alex de Vries het lek heeft bekendgemaakt op Net-Force ipv bij Microsoft.
Hij heeft ze gemailt en tijd gegeven.. lees et artikel dan ook
Tja, gezeur met die grote bedrijven. Ik heb ook 2 XSS-exploits gevonden bij MSN.com. Heb ik gemeld en er wordt niets mee gedaan.

Oplossing? In het vervolg gewoon posten op grote fora/communities :Z
[flamebait]
En zo wordt er, uit pure frustratie, weer een cracker geboren uit een ideologisch ingestelde hacker...?
[/flamebait]
Nee niet echt. Maar als je je informatie post op een site, dan zal men er haast achter zetten met de fix. De fixes zijn meestal heel erg simpel te doen namelijk.

En 'hacker' is een beetje een ongepast woord hier toch? Veel te veel eer voor datgene wat 'k vind ;)
Dit was al jaren bekend...
http://www.hackers4hackers.nl/reader.php?h4h=12&page=05

BTW zo'n groot nieuws is het niet toch? 2 Maanden terug heb ik eenzelfde soort lek ontdekt bij Tweakers.net en heb het gewoon gemeld, het lek is netjes gedicht, en de zaak is daarmee klaar. Beetje aandachtstrekkerij dit..
Bij Tweakers.net en React wordt er heel normaal op gereageerd en men gaat er snel en efficient mee om. De XSS-fouten die ik gemeld heb, waren binnen 2 a 3 dagen opgelost en binnen een dag had ik bevestiging gekregen van de mail die ik stuurde.

Dit in tegenstelling tot grotere bedrijven.
Idd

alleen is Hotmail wel wereldwijd T.net is meer gericht op de nederlands/belgiese ITERS....

http://www.google.nl/search?hl=nl&q=%22Alex+de+Vries%22+msn&meta=

toch leuk die gozerd is toch beetje bekend geworden :D
Nou ik denk dat meneer de vries wel blij is met de gratis reclame voor zijn site. En voor zijn eigen naamsbekendheid. Dat is volgens mij ook de reden dat mensen zoals de Vries het doen. En laat me niet verkeerd begrepen worden. Zoiets als dit staat toch altijd wel aardig op je CV.
Mijn zusje's account is overgenomen. Vrijdag middag werkte het nog, toen ze maandag er weer was en aanmelde/inloggen lukte het niet. De geheime vraag is veranderd, en op haar vraag was het antwoordde naam van haar oma (voluit), dat weet je niet zomaar. Zou dat er iets mee te maken kunnen hebben?
Yes... Kijk eens op de site van hotmail en zoek naar een abuse functie. Stuur dan een email naar de support/abuse/helpdesk van Hotmail.
Ze zullen waarschijnlijk om al je gegevens vragen die je zusje had ingevuld toen ze zich registreerde op de site (naam, adres, etc.. etc...)
Na een paar checks krijg je binnen een paar weken je account terug. Succes! :)
Het is gewoon niet slim om je geheime vraag zo simpel te kiezen. Ik zou eens aan mensen die je kent denken, die weten het antwoord op die vraag ook.
Het antwoord op mijn geheime vraag is: 111 maar ik vertel de volgorde niet :P

Als antwoord op je geheime vraag moet je gewoon een paar rammen op het toetsenbord geven waardoor je zoiets als dit krijgt:
uoahasnbd7896t7nbva4wvsodhz67e4n09265c79w6n09765vc793m579354n7er6fcnb843ryvrf en vervolgens je wachtwoord niet vergeten, dat is het veiligste, dat heb ik ook gedaan. Tja en als je dan toch je wachtwoord vergeet, naja das dom en dan zul je een maandje moeten wachten tot je account verloopt en dan opnieuw je e-mail moeten registreren. (maar zo dom ben ik niet hoor vergeet mijn wachtwoord never nooit).
ipv zomaar iets te typen zou je het ook simpeler kunnen doen :)

Je passwoord zelf encoderen, bvb met md5 ofzo. Mogelijkheden genoeg waar je het kan omzetten met 1 of andere encryptie. En dan hoef je geen moeilijk combinatie op te schrijven, zolang je de key onthoud kan je het moeilijke passwoord altijd opnieuw maken :)
Als software developer(?) zou ik in jouw geval toch voorzichtiger zijn met dit soort uitspraken. Laat je het nog even weten als iemand een voor jou niet voordehandliggende (anders had ie er niet ingezeten heh) bug in jouw werk aantreft?
Deels heeft ie wel gelijk. In veel MS-software zitten bugs die zó opvallen, dat ze het gewoon echt niet getest kunnen hebben. En dan heb ik het niet eens over IE en aanhangsels.
laat de MS dan ook maar weg, Adobe en andere groten hebben hier ook last van ...
Ga een cursus Nederlands volgen, en leer ook eens een informatieve post te plaatsen, of kritiek met een degelijk argument te posten.
Best interessant eigenlijk. Klokkenluiders worden over het algemeen niet zo goed behandeld maar wellicht gaat microsoft sympathieker met mensen om dan de anderen.
Veel bedrijven huren mensen van buitenaf in om lekken te vinden. Als je daar goed in bent kun je daar een leuke boterham mee verdienen. Dan hoef je het niet meer voor een Xbox te doen.

edit: dit was een reactie op lblies
Dit komt vaker voor dan dit bericht doet vermoeden. Zoals "NielsT" op security.nl eergister al opmerkte, zit er ook nog een XSS vurn in members.msn.com. Deze is ook exploitable.

Ik weet niet of deze bug al gemeld is bij MS, maar atm werkt hij in ieder geval nog steeds. Dat wil zeggen, in Mozilla; in IE worden de HTML entities wel vervangen. Heel vreemd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True