Mit über 83.000 registrierten Benutzern und über 35.000.000 hochgeladenen Bildern zählt abload.de wohl mit zu den größten Bildhostern in Deutschland. Der Dienst ist seit dem Jahr 2006 verfügbar und erfreut sich höchster Beliebtheit, welche wohl durch Benutzerfreundlichkeit (inituitive Bedienung, verschiedene Apps für Endgeräte, etc.) und die große Auswahl an Extras (Bildverkleinerung, Anpassung, etc.) erzeugt wird. Häufig sind genau solche bekannten und beliebten Webpräsenzen im Visier von Kriminellen, welche durch Ausnutzung von Sicherheitslücken versuchen Schaden anzurichten. Um solchen ungebetenen Besuchern zuvorzukommen haben wir uns mit dem Projekt auseinandergesetzt und haben einige Schwachstellen gefunden.
Nachdem wir einige Cross-Site Scripting Lücken beim umbennen der Bildergalerien bzw. Bilder entdeckten, wurden diese, nach unserem Hinweis, vom verantwortlichen Programmierer schnell behoben. Nach einem weiteren Blick enttarnten wir weitere Sicherheitslücken, welche wir umgehend dem Entwicklerteam weiterleiteten.
Wir entdeckten einige Probleme bei der Rechtetrennung. Die Funktion zur Verkleinerung der Bilder wurde zwar mit einer Variable “key” zu schützen versucht - leider wurde diese aber nicht korrekt validiert, sodass hier eine horizontale Privilege Escalation möglich war. Genauer gesagt, war es möglich jedes beliebige Bild, dessen Namen man kannte (der Name ist aus dem Seitentitel zu entnehmen) , auf eine Größe von 1x1 Pixeln zu verkleinern und somit den Upload unbrauchbar zu machen. Ein böswilliger Angreifer hätte diesen Vorgang automatisieren können, um großen Schaden anzurichten. Das Team von abload.de teilte uns mit, dass es keine Beschwerden in diesem Kontext eingegangen seien, und man davon ausgeht, dass die Lücke nicht aktiv ausgenutzt wurde.
Des Weiteren gab es einige Cross-Site Request Forgery (CSRF) Lücken, welche einem Angreifer das Durchführen von verschiedenen Aktionen im Kontext des Benutzers erlaubten. Diese Angriffsfläche ergab sich aus diversen Ajax-Requests, welche nicht gegen CSRF geschützt waren (bspw. mit Tokens).
Die erste dieser Lücken ermöglichte das Löschen von Bildergalerien aus der Ferne, wenn ein Angreifer seinem Opfer auf eine präparierte Seite geleitete hätte, oder dem Benutzer ein präpariertes Bild gezeigt hätte. Diese Weiterleitung wäre genauso Voraussetzung für die nächste Sicherheitslücke gewesen. Diese ermöglichte es, Galerien mit beliebigem Namen und Beschreibung beim Benutzer zu erstellen. Als nächstes konnte diese Angriffstechnik auf einzelne Bilder angewendet werden, wenn man im Besitz des Bildernamens war. Es bestand die Möglichkeit die Bilder ändern zu lassen, oder diese gar komplett zu löschen. Voraussetzung für dieses Szenario wäre eine vom Angreifer manipulierte Webseite oder ein entsprechend manipulierter Link gewesen, welche(n) der Betroffene hätte öffnen müssen. Das abload-Team versichert, dass es zu keinen Beschwerden bezüglich Löschungen oder Manipulationen von Bildern gekommen sei.
Nachdem wir am 30.02.13 eine entsprechend umfangreiche Nachricht an den Support verschickt hatten, folgte kurz darauf eine freundliche Antwort, in der man uns um ein Telefonat bat. Wir besprachen das weitere Vorgehen, sowie die Lücken im Vergleich zu den intern angelegten Logdateien, um bestmöglich an der Schließung der Lücken zu arbeiten. Ein paar Tage später teilte man uns mit, dass man bei der Durchsicht des Quelltextes bzw. der Logdateien erfolgreich eine SQL Injection Lücke identifizieren und beheben konnte.
Zudem wiesen wir daraufhin, dass man die Sicherheit der Seite erhöhen könnte, wenn man das “httpOnly”-Flag der Cookies nutzt. Dieses Flag verhindert den Zugriff von JavaScripts auf die Cookies.
Alle diese Hinweise wurden nach internen Gesprächen mit uns umgesetzt, bzw. die Sicherheitslücken behoben.
Wir möchten dem Team von abload.de für die ausführliche Kommunikation, sowie die Fixes danken und wünschen dem Projekt noch viel Erfolg!
Update vom 04.05.2013:
Das Abload Team hat uns freundlicherweise auf Ihrer Teamseite verlinkt.
Das Team der Internetwache.org
Screenshots
