Cross-site scripting brengt Hotmail-gebruikers in gevaar

Microsoft heeft afgelopen weekend een gedeelte van zijn MSN-website offline gehaald nadat het bedrijf vernomen had dat het mogelijk was om via een omweg toegang te verkrijgen tot Hotmail-accounts. De website http://ilovemessenger.msn.com/ bevatte een zogenaamde 'cross-site scripting'-lek, aldus een woordvoerder van het bedrijf maandag. Via dit lek was het mogelijk om de beschikking te krijgen over cookies van andere gebruikers door hen ertoe te bewegen naar een bepaalde webpagina te surfen. Met behulp van deze cookies was het vervolgens mogelijk om toegang te krijgen tot de e-mailaccounts van andere gebruikers.

Het lek in MSN's site was afgelopen vrijdag bekendgemaakt door Alex de Vries op de Nederlandse site Net-Force. Het vinden van het lek kostte De Vries anderhalf uur, aanzienlijk langer dan het vinden van vergelijkbare lekken op enkele andere sites. Nadat Microsoft van het lek op de hoogte was gesteld, is de 'I Love Messenger'-site offline gehaald. Deze zal weer online komen als het lek is opgelost, zo heeft MSN in een reactie laten weten. Enkele weken geleden had Microsoft te maken met hackers die via scripts op de Zuid-Koreaanse MSN-site probeerden de hand te leggen op wachtwoorden van het online spel Lineage.

IT-banen

Reacties (45)

frickY 7 juni 2005 11:26

Dit lijkt me puur een kwestie van laks programmeren.
Cookies kun je zetten per domein-naam. Als je bij het maken van een cookie aangeeft dat het cookie voor www.hotmail.com is, zal de browser het cookie alleen meesturen bij het ophalen van de pagina, als je op www.hotmail.com zit.
Als de domain-path is ingesteld op msn.com, wordt hij ook meegestuurd als je surft naar ikwiljecookie.msn.com

Of zou het lek iets ingewikkelder zijn?

PowerSp00n @frickY • 7 juni 2005 11:29

Ja, want daar komt cross-site scripting nou juist om de hoek kijken

. Dan kan een andere gebruiker code laten uitvoeren (dat bijvoorbeeld in de url meegegeven is) in jouw browser op de site waar het nou eigenlijk om gaat. Waardoor een andere gebruiker dus toegang krijgt tot je cookies van die site

. Ok beetje brak uitgelegt maar het klopt wel ongeveer

frickY @PowerSp00n • 7 juni 2005 11:53

Inderdaad ja.
Dat probleem zie je vooral bij sites waarbij bepaalde content wordt meegegeven via de URL, meestal een kopje van een pagina.

Overigens wordt je sessie, ook bij Hotmail, een je gekoppeld door middel van een cookie.
Beetje raar overigens dat deze zo simpel te "hijacken" is. Maar een sessievar aan waarin je het IP-adres van de ingelogde persoon opslaat, en vergelijk die met het sessie ID welke je via het cookie binnen krigjt. Maar ja, dat ben ik

Woy Moderator PRG/SEA @frickY • 7 juni 2005 12:50

En wat dan met mensen die gebruik maken van een proxy server? Niemand garandeerd dat al je requests van hetzelfde IP adres afkomstig zijn.

frickY @frickY • 7 juni 2005 13:17

Maak je een goed punt.
Dan pak je de volledige browsernaam, het IP-range, of een combinatie

Sagi @frickY • 7 juni 2005 19:19

Ook dat hoeft niet per definitie te werken, er zijn immers ook proxy's die de browser signature aanpassen.

Het gebruik van cookies is naast het gebruik query-string-munging eigenlijk een van de weinige manieren om vast te stellen dat je met dezelfde gebruiker te maken hebt.

Verwijderd @frickY • 7 juni 2005 13:13

Crossside scripting heeft niks met cookies te maken, maar met de mogelijkheid tot het uitvoeren van code(javascript) op het domein van een ander.
Een gevolg daarvan is idd dat je daarmee de cookie van een ander op kan vragen..

In een img tag, kun je al code uitvoeren als het niet is afgevangen:

<img src="javascript:alert('test')">

frickY @Verwijderd • 7 juni 2005 13:17

Cross-site scripting heeft vaak tot doel het bemachtigen van een cookie. Dus ze hebben zeker wel met elkaar te maken.

mosymuis @frickY • 7 juni 2005 13:41

Javascript: binnen <img> tags werkt niet in de Mozilla en Opera browsers. Daarnaast is je definitie van XSS iets te smal; ook HTML injectie wordt eronder gerekend. Denk daarbij aan het bijplaatsen van reclamebanners, etc.

//edit: dit was een reactie op interaddict

aCCuReRaS @frickY • 7 juni 2005 11:28

Je vergeet dat Hotmail met Passport authenticatie werkt.
Dus een cookie vaszetten op hotmail.com zou totaal zinloos zijn.

MoBi @frickY • 7 juni 2005 11:28

Helaas wel. Hotmail draait namelijk niet op 1 servertje. Er moet dus vanaf verschillende adressen het cookie gelezen worden.

alt-92 @frickY • 7 juni 2005 11:37

Of zou het lek iets ingewikkelder zijn?

Blijkbaar wel:

Het lek in MSN's site was afgelopen vrijdag bekendgemaakt door Alex de Vries op de Nederlandse site Net-Force. Het vinden van het lek koste De Vries anderhalf uur, aanzienlijk langer dan het vinden vergelijkbare lekken op enkele andere sites.

bamboe @frickY • 7 juni 2005 21:18

>>>Dit lijkt me puur een kwestie van laks programmeren.

misschien,wat mij opvalt is dat je de nieuwe messenger niet eens meer kan afsluiten als je explorer of outlook nog open hebt staan,.... sorrie maar dan ga ik me ook dingen afvragen...

Beats me if there is a use for that....

Iblies 7 juni 2005 11:45

Wat ik me afvraag is of MS mr Alex de Vries bedankt heeft voor de gewezen lek,
al dan niet in een vorm van een bloemetje, game uitkiezen, misschien xbox, deze kost bijna niks meer.
Het is toch een fout die serieuze gevolgen kon hebben, en deze meneer heeft het netjes opgelost.

Zarc.oh @Iblies • 7 juni 2005 13:49

Ik heb enige tijd geleden een JavaScript insertion lek gevonden in Hotmail. Heb het destijds ook aan MS doorgegeven. Krijg ik nou ook een eigen FP bericht?

of een bloemetje, of game misschien xbox, want die kosten bijna niks meer

twabi2 @Zarc.oh • 7 juni 2005 19:33

Geld kan ik je niet geven, maar wel eeuwig respect dat je dit netjes hebt afgehandel

Mooi gevonden trouwens

Zarc.oh @twabi2 • 7 juni 2005 21:36

Dank u!!!
Ach ik wil graag zelf aan de slag in de beveiliging. Ik geef geen ruchtbaarheid aan de gaten die ik vind, maar documenteer ze op m'n eigen site en geef het door aan de maker van de website / software. Zo bouw ik een beetje m'n eigen CV op.

BertS @Iblies • 7 juni 2005 11:53

En wat ik me afvraag is waarom mr Alex de Vries het lek heeft bekendgemaakt op Net-Force ipv bij Microsoft.

Verwijderd @BertS • 7 juni 2005 11:55

Hij heeft ze gemailt en tijd gegeven.. lees et artikel dan ook

scorpie 7 juni 2005 12:47

Dit was al jaren bekend...
http://www.hackers4hackers.nl/reader.php?h4h=12&page=05

BTW zo'n groot nieuws is het niet toch? 2 Maanden terug heb ik eenzelfde soort lek ontdekt bij Tweakers.net en heb het gewoon gemeld, het lek is netjes gedicht, en de zaak is daarmee klaar. Beetje aandachtstrekkerij dit..

TRON @scorpie • 7 juni 2005 15:09

Bij Tweakers.net en React wordt er heel normaal op gereageerd en men gaat er snel en efficient mee om. De XSS-fouten die ik gemeld heb, waren binnen 2 a 3 dagen opgelost en binnen een dag had ik bevestiging gekregen van de mail die ik stuurde.

Dit in tegenstelling tot grotere bedrijven.

To_Tall

@scorpie • 7 juni 2005 13:20

Idd

alleen is Hotmail wel wereldwijd T.net is meer gericht op de nederlands/belgiese ITERS....

http://www.google.nl/search?hl=nl&q=%22Alex+de+Vries%22+msn&meta=

toch leuk die gozerd is toch beetje bekend geworden

TRON 7 juni 2005 15:01

Tja, gezeur met die grote bedrijven. Ik heb ook 2 XSS-exploits gevonden bij MSN.com. Heb ik gemeld en er wordt niets mee gedaan.

Oplossing? In het vervolg gewoon posten op grote fora/communities

JarnoD @TRON • 7 juni 2005 17:06

[flamebait]
En zo wordt er, uit pure frustratie, weer een cracker geboren uit een ideologisch ingestelde hacker...?
[/flamebait]

TRON @JarnoD • 8 juni 2005 00:05

Nee niet echt. Maar als je je informatie post op een site, dan zal men er haast achter zetten met de fix. De fixes zijn meestal heel erg simpel te doen namelijk.

En 'hacker' is een beetje een ongepast woord hier toch? Veel te veel eer voor datgene wat 'k vind

Verwijderd 7 juni 2005 11:56

Nou ik denk dat meneer de vries wel blij is met de gratis reclame voor zijn site. En voor zijn eigen naamsbekendheid. Dat is volgens mij ook de reden dat mensen zoals de Vries het doen. En laat me niet verkeerd begrepen worden. Zoiets als dit staat toch altijd wel aardig op je CV.

AlexanderOnline 7 juni 2005 15:39

Mijn zusje's account is overgenomen. Vrijdag middag werkte het nog, toen ze maandag er weer was en aanmelde/inloggen lukte het niet. De geheime vraag is veranderd, en op haar vraag was het antwoordde naam van haar oma (voluit), dat weet je niet zomaar. Zou dat er iets mee te maken kunnen hebben?

Rex @AlexanderOnline • 7 juni 2005 21:17

Yes... Kijk eens op de site van hotmail en zoek naar een abuse functie. Stuur dan een email naar de support/abuse/helpdesk van Hotmail.
Ze zullen waarschijnlijk om al je gegevens vragen die je zusje had ingevuld toen ze zich registreerde op de site (naam, adres, etc.. etc...)
Na een paar checks krijg je binnen een paar weken je account terug. Succes!

mae-t.net @Verwijderd • 7 juni 2005 11:27

Als software developer(?) zou ik in jouw geval toch voorzichtiger zijn met dit soort uitspraken. Laat je het nog even weten als iemand een voor jou niet voordehandliggende (anders had ie er niet ingezeten heh) bug in jouw werk aantreft?

_Thanatos_ @mae-t.net • 7 juni 2005 12:21

Deels heeft ie wel gelijk. In veel MS-software zitten bugs die zó opvallen, dat ze het gewoon echt niet getest kunnen hebben. En dan heb ik het niet eens over IE en aanhangsels.

catfish @_Thanatos_ • 7 juni 2005 13:19

laat de MS dan ook maar weg, Adobe en andere groten hebben hier ook last van ...

Mizitras @Verwijderd • 7 juni 2005 15:43

Ga een cursus Nederlands volgen, en leer ook eens een informatieve post te plaatsen, of kritiek met een degelijk argument te posten.

rtgo 7 juni 2005 11:54

Best interessant eigenlijk. Klokkenluiders worden over het algemeen niet zo goed behandeld maar wellicht gaat microsoft sympathieker met mensen om dan de anderen.
Veel bedrijven huren mensen van buitenaf in om lekken te vinden. Als je daar goed in bent kun je daar een leuke boterham mee verdienen. Dan hoef je het niet meer voor een Xbox te doen.

edit: dit was een reactie op lblies

mosymuis 7 juni 2005 13:44

Dit komt vaker voor dan dit bericht doet vermoeden. Zoals "NielsT" op security.nl eergister al opmerkte, zit er ook nog een XSS vurn in members.msn.com. Deze is ook exploitable.

Ik weet niet of deze bug al gemeld is bij MS, maar atm werkt hij in ieder geval nog steeds. Dat wil zeggen, in Mozilla; in IE worden de HTML entities wel vervangen. Heel vreemd.

Verwijderd 7 juni 2005 20:03

Het is gewoon niet slim om je geheime vraag zo simpel te kiezen. Ik zou eens aan mensen die je kent denken, die weten het antwoord op die vraag ook.

Darude1234 @Verwijderd • 8 juni 2005 00:29

Het antwoord op mijn geheime vraag is: 111 maar ik vertel de volgorde niet

Als antwoord op je geheime vraag moet je gewoon een paar rammen op het toetsenbord geven waardoor je zoiets als dit krijgt:
uoahasnbd7896t7nbva4wvsodhz67e4n09265c79w6n09765vc793m579354n7er6fcnb843ryvrf en vervolgens je wachtwoord niet vergeten, dat is het veiligste, dat heb ik ook gedaan. Tja en als je dan toch je wachtwoord vergeet, naja das dom en dan zul je een maandje moeten wachten tot je account verloopt en dan opnieuw je e-mail moeten registreren. (maar zo dom ben ik niet hoor vergeet mijn wachtwoord never nooit).

OmegaII @Darude1234 • 9 juni 2005 03:06

ipv zomaar iets te typen zou je het ook simpeler kunnen doen

Je passwoord zelf encoderen, bvb met md5 ofzo. Mogelijkheden genoeg waar je het kan omzetten met 1 of andere encryptie. En dan hoef je geen moeilijk combinatie op te schrijven, zolang je de key onthoud kan je het moeilijke passwoord altijd opnieuw maken

Op dit item kan niet meer gereageerd worden.

Cross-site scripting brengt Hotmail-gebruikers in gevaar

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: