Pek çok popüler uygulamada sık sık karşılaştığım bir durum, geliştiricinin bir HTML öğesini “sınıf” özelliği aracılığıyla devre dışı bırakmasıdır. Genellikle şuna benzer:
Bu, bazı durumlarda oldukça iyi çalışır, ancak diğer durumlarda, kimliği doğrulanmamış bir kullanıcı tarafından gerçekten yapılmaması gereken eylemleri gerçekleştirmek üzere manipüle edilebilir. Birkaç hafta önce Stripe’a gönderdiğim bir hatada da tam olarak böyle oldu.
Stripe hesabınıza giriş yaptığınızda, belirli bir süre hareketsizlikten sonra zaman aşımına uğrayacaksınız. Bu zaman aşımına ulaştığınızda, şifrenizi girerek yeniden kimlik doğrulaması yapana kadar hesapta herhangi bir değişiklik yapamazsınız veya diğer sayfaları görüntüleyemezsiniz. “Devre dışı bırakılmış” sınıf etiketi kullanmanın sorunu burada yatmaktadır; bir saldırgan, devre dışı bırakılmış sınıf etiketini silmesine ve diğer sayfaları görüntüleyerek istek göndermesine olanak sağlamak için inceleme öğesi aracılığıyla sayfayı kolayca değiştirebilir.
Aşağıdaki videoda, hareketsizlik nedeniyle bir Stripe hesabının nasıl kilitlendiğini göreceksiniz, ancak inceleme öğesi aracılığıyla zaman aşımı sayfasının “kullanıcı davet et” bölümüne giderek, önce kimlik doğrulaması yapmadan zaman aşımına uğrayan hesapta kendimi yönetici olarak davet edebiliyorum.
Bu, elbette, kişinin öncelikle Stripe hesabında oturum açmasını ve bilgisayarını açıkta bırakmasını gerektirir… ancak bu yöntemi kullanarak, Stripe.com hesabındaki tüm kilitleme sürecini tamamen işe yaramaz hale getirebilirsiniz. Yine de Stripe’taki kişilerin kötü niyetli bir kullanıcının web kancalarını değiştiremeyeceğinden emin olması ilginçtir… ancak hesaba bir yönetici davet etmeye tamamen izin verilmektedir.
Stripe bunu takip etti ve tüm modun reddedilmesinin kimlik doğrulama kontrolünü atlamak için yeterli olmadığını, bunun yerine arka uçta kontrol edildiğini, ancak bu durumda kontrolün kazara kaldırıldığını ve bu da bana başka bir yönetici davet etmemi sağladığını söyleyerek konuyu netleştirdi.
Stripe güvenliği bu sorunun çözümünde çok hızlı davrandı ve sorun, bildirmemden kısa bir süre sonra düzeltildi. Bu yazıyı yayınlamadan önce izin istedim. Ödül: 500 dolar.
Keşfettiğim bir CVE hakkındaki yazı da dahil olmak üzere, bundan biraz daha teknik olan daha fazla ödül yazılarım var, bu yüzden daha fazla güncelleme için daha sonra tekrar kontrol edin. Ayrıca şunları yapabilirsiniz: beni Twitter’da takip et Eğer isterseniz hatalarım ve yaptıklarım hakkında güncel bilgilere sahip olmak için.