24.03.2014 | 22:30

avatar

Marcin Rybak

Banalne obejście uwierzytelnienia na japońskim eBay’u

Że solić hasła trzeba, to wie już zapewne każdy, regularnie czytający nasz portal. Japoński serwis community eBay co prawda poszedł tą drogą, ale chyba nie w sposób, w jaki każdy by sobie tego życzył. Odkrył to i opublikował Ionut Cernica.

Aby poprawnie się zarejestrować wystarczyła para nazwa użytkownika i sól, gdyż do logowania wcale nie było używane hasło. Jeśli chodzi o sól – również nie zadano sobie zbyt wiele trudu podczas jej konstruowania (choć w tym wypadku nie miało to większego znaczenia) ), co gorsza była ona statyczna i taka sama dla wszystkich użytkowników.

Ekran z sesją logowania

Ekran z sesją logowania

Poprawne zapytanie aby zalogować użytkownika z3s z hasłem supertajnehasło2 brzmi:

username=z3s&password=z3s123456

jak więc można zauważyć, hasło do niczego nie było potrzebne gdyż logowanie odbywało się na zasadzie:

username=<username>&password=<username>123456

i jeśli nadal macie wątpliwości odpowiadamy: TAK… solą było najpopularniejsze i jednocześnie najsłabsze hasło roku 2013 (i poprzednich również): 123456, szczegóły ataku Ionut przedstawił w filmiku na youtube.

Powrót

Komentarze

  • avatar
    2014.03.24 22:49 Marek

    Mamy zwycięzcę konkursu na najgłupszą wpadkę roku… a dopiero marzec.

    Odpowiedz
    • avatar
      2014.03.25 21:03 Krzysztof Szumny

      Nie skreślaj jeszcze innych… świat IT jest nieobliczalny ;)

      Odpowiedz
  • avatar
    2014.03.24 22:51 anon

    zaszaleli, az strach miec ich zabezpieczneia i pomoc admina

    Odpowiedz
  • avatar
    2014.03.25 00:49 wilk

    To jest tak idiotyczne, że aż niewiarygodne…

    Odpowiedz
  • avatar
    2014.03.26 10:26 michal

    Lepiej zmiencie tytul … chyba ze sie nie boicie prawnikow ebay’a

    community.ebay.co.jp to nie ebay

    Odpowiedz
    • avatar
      2014.03.26 11:38 Marcin Rybak

      Drugie zdanie: „japoński serwis community eBay”, w ramach wyjasnienia domena ebay.co.jp należy do ebay’a, i jest utrzymywana na ich serwerach (choćby DNS):

      ebay.co.jp @sjc-dns1.ebaydns.com
      ebay.co.jp. 86400 IN A 222.73.220.178

      Ta wersja serwisu co prawda, jest traktowana bardzo po macoszemu, gdyż eBay nie odniósł znaczącego sukcesu na tamtym rynku (źródło: http://answers.yahoo.com/question/index?qid=20110715200149AATDnoJ), co nie jest jednak usprawiedliwieniem dla takiego błędu

      Odpowiedz
  • avatar
    2014.04.09 13:50 Filip

    dobre :)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Banalne obejście uwierzytelnienia na japońskim eBay’u

Komentarze