Um die Bevölkerung zu motivieren, sich auch während des Lockdowns sportlich zu betätigen, wurden mehrere Projekte ins Leben gerufen. Eines davon, der “OneMillionRun”, fand am letzten Maiwochenende statt, mit folgendem Ziel: Gemeinsam 1'000'000 Kilometer zu Fuss zurücklegen. Die geleisteten Kilometer mussten natürlich online auf www.onemillionrun.ch im persönlichen Konto eingetragen werden.
XSS auf der Loginseite der Supercard-ID
Auf supercard.ch befand sich bis vor kurzem eine Sicherheitslücke, die es ermöglichte, sehr authentische Phishing-Links zu erstellen. Die Schwachstelle befand sich auf der Loginseite der Supercard ID. Diese ID verknüpft alle Coop-Dienste untereinander und lässt sich unter anderem auch zur Zahlung verwenden; die Angriffsfläche ist entsprechend gross.
Technische Details
Bei der Sicherheitslücke handelte es sich um sogenanntes Reflected Cross-Site-Scripting (XSS). Diese Lücke entstand, da die Webapplikation den Link (inklusive aller Parameter) auf der Website ausgibt, ohne die Eingabe zu filtern oder zu encoden.
So liess sich schliesslich Javascript auf die Website einschleusen:
https://login.supercard.ch/cas/login?locale=de&service=https://www.supercard.ch/de.html";></script><script>alert("xss")</script><script>
Durch das Importieren eines Scripts konnte man alle Eingaben, die auf der Seite gemacht werden (in diesem Fall Benutzername und Passwort) stehlen. Ein solcher Link ist relativ unauffällig und von Laien nur schwer zu erkennen.
Meldung an supercard / Coop
Coop hat die Lücke über einen Monat lang nicht (korrekt) behoben und mehrere schriftliche und telefonische Anfragen ignoriert. Erst nach einer Meldung bei GovCert.ch wurde eine Web-Application-Firewall installiert, die die Sicherheitslücke jedoch nicht behob, sondern nur versuchte, Angriffe zu blockieren. Die Schutzfunktion liess sich mit folgendem Payload umgehen:
'}; self['alert']('xss'); var utag_data1 = { 'key':'value
Und über folgende URL ausnutzen:
https://login.supercard.ch/cas/login?locale=de&service=https://www.supercard.ch/de.html%27%7D%3B%20self%5B%27alert%27%5D%28%27xss%27%29%3B%20var%20utag_data1%20%3D%20%7B%20%27key%27%3A%27value
Nach einer weiteren Meldung an die Coop Genossenschaft wurde die Lücke schliesslich behoben. Die Behebung der Lücke hat insgesamt über einen Monat gedauert.
- Rubrik:
- Sicherheitslücken
News und andere interessante Sachen.
Blog.
Auf unserem Blog finden Sie interessante Artikel über von uns gefundene Sicherheitslücken, aktuelle Themen, Neuigkeiten und weiteres
Info! Bei diesem Artikel handelt es sich um ein Write-Up einer gefundenen Schwachstelle. Anhand dieser wird hier die Gefahr von sogenannten CORS-Fehlkonfigurationen erklärt. Schwachstellen gibt es in jedem System, weshalb anzumerken ist, dass myCloud / Swisscom im Allgemeinen nicht als unsicher abgestempelt werden sollte. Im Gegenteil: Durch das Bug Bounty Programm konnte der Fehler behoben werden.
Dieser Artikel beschreibt eine Schwachstelle, die sich auf mycloud.ch befand und es unter gewissen Umständen ermöglichte, Dateien von fremden Accounts herunterzuladen und neue Dateien hochzuladen. Die Schwachstelle wurde durch die Swisscom im Rahmen des Bug Bounty Programmes der Swisscom
behoben (siehe Timeline).Auf den Onlineshops der Digitec Galaxus AG befand sich eine Schwachstelle, die es ermöglichte, den vollen Namen eines beliebigen Kunden abzufragen. Benötigt wurde dazu nur die User-ID, die im Link zum jeweiligen Benutzerprofil zu finden ist. In diesem Beitrag schildere ich die Details zu dieser Lücke.