IT BCE Business Consulting Experts

Nasi eksperci wykryli interesujący błąd w popularnym portalu wykop.pl. Na skutek niepoprawnej weryfikacji parametrów, możliwe było automatyczne "wykopanie" określonej pozycji.

Przeprowadzenie ataku mogło przebiegać w nastepujący sposób:

• atakujący przygotowuje specjalnie spreparowany odnośnik ("znalezisko"),
• zalogowany użytkownik po odwiedzeniu odnośnika, całkowicie nieświadomie - automatycznie "wykopuje" inny dodany uprzednio odnośnik

Nasi eksperci przygotowali także praktyczny sposób wykorzystania tego błędu. Spreparowany post zawierający błyskawiczną relację z części Juwenaliów wrocławskich (konkretnie było to PIWO2 czyli Potężny Indeksowy Wyświetlacz Okienny na jednym z akademików) został dodany z modyfikacją umożliwiającą wykorzystanie wspomnianego błędu. Efektem ataku miało być pobicie rekordu tygodnia dla artykułu reklamującego serwis pajacyk.pl. Niestety, ze względu na błyskawiczną reakcję użytkowników i moderatorów, a następnie programistów, którzy załatali usterkę - atak powiódł się jedynie częściowo. Przez klika godzin podbijany automatycznie pajacyk.pl osiąnął wynik 263 wykopów - następnie został usunięty.

Błyskawiczna reakcja obsługi technicznej na zaistniałą sytuację świadczy o wysokim profesjonalizmie i poważnym podejściu do incydentów związanych z bezpieczeństwem portalu.

Przy okazji pragniemy przypomnieć, że każde kliknięcie w brzuszek pajacyka pozwala dożywić głodne dziecko. Zapraszamy na stronę http://www.pajacyk.pl.