Gerade sind Zedel und ich auf ein riesiges Sicherheitsloch bei westlotto.de gestoßen. Ich wollte ihn auf das sogenannte Superding aufmerksam machen, eine Sonderziehung, die am 04.11.2006 stattfindet. Also habe ich die URL dieser Sonderziehung in die Zwischenablage kopiert und per Instant Messenger an ihn verschickt, und im Gegenzug erhielt ich von ihm postwendend einen Screenshot zurück, der zeigt, wie er mit meiner Session auf meine Kosten spielen kann.
Na das ist ja echt mal ein echtes Superding!
Die Mißbrauchsmöglichkeiten sind mannigfaltig und reichen von Verzocken eventuell vorhandenen Accountguthaben über Verzocken größerer Summen (sofern der automatische Lastschrifteinzug aktiviert ist) bis hin zu Änderungen der hinterlegten Bankverbindung für Auszahlungen und Abruf vorhandener Guthaben auf fremde Girokonten. Aus Kundensicht wären solche Mißbräuche sehr schwierig nachzuweisen, für den Betreiber sind die Rechtsfolgen unabsehbar.
Selbstverständlich habe ich Westlotto von diesem eklatanten Sicherheitsmangel in Kenntnis gesetzt. Da es aber trotzdem nicht so einfach sein dürfte, die Sessions anderer Benutzer zu hijacken ohne daß diese einen Link samt SessionID verschicken (oder sich einen Trojaner einhandeln, der gezielt solche Lücken ausnutzen kann), sehe ich keinen Hinderungsgrund, diese Lücke zeitgleich hier zu publizieren.
Update 28.10.2006: Auch gute drei Tage nachdem ich westlotto.de auf die Existenz dieses schwerwiegenden Mangels in ihrem System hingewiesen habe, ist bis dato weder eine Reaktion erfolgt (weder eine Email noch ein Anruf) noch eine Korrektur des Problems am Webauftritt vorgenommen worden. Es scheint, als wären dem Unternehmen die Kontoinformationen seiner Kunden nicht wirklich wichtig.
Peter meint
@contZero:
Prinzipiell hast du schon Recht, dass man die Session so einfach kapern kann, ist mehr als peinlich.
Allerdings bekomme ich immer Probleme mit den IE-Anwendern, wenn ich Sessions nur über Cookies zulasse. Viele sind leider nicht mal in der Lage eine Seite in ihre “Vertrauenswürdigen Sites” aufzunehmen, also muss ich doch immer eine automatische Umschaltung zulassen auf Weiterleitung per URL. Meist kombiniere ich es mit einem Timeout (z. B. 20 Minuten) und einer Browserabfrage. Ein Einmalpasswort habe ich noch nicht eingesetzt; ich kann also nicht beurteilen, wie praktikabel das ist. Allerdings habe ich auch nie eine Anwendung gemacht, bei der es um Geld ging. Da würde ich wohl auch mehr Aufwand treiben
Walle meint
naja, das ist wohl immer so … leider
CountZero meint
eben das ist halt der haken an der sache. selbst wenn das für den einen oder anderen internetnutzer “ganz normal” ist, für otto normalverbraucher ist es extrem gefährlich, denn genauso wenig wie die meisten unserer mitbürger wohl in der lage wären einen automotor auseinanderzunehmen, zu warten und korrekt wieder zusammenzusetzen, sind sich diese unsere mitbürger darüber im klaren, daß eine URL die sie kopieren und jemandem schicken gefährliche bestandteile enhalten kann, deren kenntnis in dritthand sehr gefährlichen mißbrauch ermöglichen.
übrigens, bis jetzt immer noch keine antwort von westlotto.de - ich nehme nicht an, daß ich diese woche noch feedback erhalte, folglich muss ich wohl davon ausgehen, daß es zuerst einer breiteren öffentlichen wahrnehmung bedarf, bis sich dieses problems angenommen wird.
Walle meint
also ich weiss nicht (technisch gesehen) wovon ihr da redet, aber das ist ja mal total krass.
also wenn man nur ne URL braucht, um unsinn zu machen, ist das mal ganz schlechter stil!
CountZero meint
da muss ich dich korrigieren, denn das ist falsch. “ordentlich” programmierte sessionIDs sind prinzipiell an die IP-adresse des benutzers gebunden, und üblicherweise werden heutzutage sessionIDs nur noch im notfall in die URL gehängt, wenn der besucher keine cookies akzeptiert (was sich problemlos serverseitig abfragen läßt) - und das ist bei mir nicht der fall
auch das von dir angesprochene problem der sich dynamisch ändernden IPs kann problemlos umgangen werden, indem man zwar auf eine feste bindung an die IP verzichtet, dann aber stattdessen für jeden request unterschiedliche IDs verwendet, sozusagen wie ein wegwerfpasswort.
alle genannten maßnahmen habe ich selbst schon in diversen projekten umgesetzt, ich weiss also, von was ich hier rede.
Peter meint
Na ja, wenn man einen Link mit SessionID jemand anderem gibt, kann der rein. Das ist nicht nur bei westlotto so, sondern generell. Deshalb sollten SessionIDs generell nicht über die URL weitergegeben werden sondern über Cookies. Ich vermute mal, dass du im Browser Cookies deaktiviert hast und somit die die Seite automatisch umschaltet und die SessionID über die URL weitergibt.
Derartiges Session Hijacking zu verhindern ist kaum möglich. Man könnte z. B. zusätzlich eine Browserabfrage einbauen (da die meisten IE verwenden, ist das nicht sehr wirkungsvoll), oder zusätzlich die IP abfragen, was aber zum Sessionabbruch führt, wenn sich die dynamisch vergebene Client-IP ändert (und damit zu massiven Beschwerden der User). Wie mans macht ist es nichts - eine sichere Lösung gibt es nicht, wenn die Session über die URL weitergegeben wird. Sicher sind nur Cookies. Deshalb würde ich bei Seiten, die mit Geld zu tun haben, für die Session Cookies erzwingen - sprich, wer Cookies deaktiviert hat, kann sich einfach nicht einloggen.
CountZero meint
Nope, bisher Totenstille. Ich geb denen noch das Wochenende, wenn ich bis dann noch kein Feedback habe, schadet es glaube ich nicht, andere Presseorgane in Kenntnis zu setzen
Pingbacks & Trackbacks