Ob Farmville oder CityVille, sowie viele weitere Onlinegames; sie alle stammen aus dem Haus des US-amerikanischen Unternehmens Zynga, welches mit einem Umsatz von rund 850 Mio. USD im Jahre 2010 der Platzhirsch unter den Erstellern von Onlinegames oder Webapplikationen ist. Zynga hat, wie viele andere größere Unternehmen, (siehe Bericht Lastpass) eine sogenannte Hall of Fame in der sie sich bei Security Researchern mit einer Nennung bedankt, welche Lücken nach dem Prinzip des Responsible Disclosure übermitteln.
Die Cross Site-Scripting Lücken entdeckten wir auf der Unternehmensseite von Zynga. Genauer: Im Unterbereich investor.zynga.com. Dort haben die Besucher die Möglichkeit die Webseite über soziale Netzwerke weiter zu empfehlen. Dabei wird die URL der Webseite einer Javascriptfunktion als Parameter übergeben.
Diese Links wurden alle nach dem folgenden Prinzip erstellt.
1 2 |
|
Um eine XSS beim Klick auf eine der angebotenen Share-Buttons zu triggern, müssen wir die URL nur um einen nutzlosen Parameter erweitern:
1 2 |
|
Durch das Anhängen des Parameters erschien ein alert-Fenster mit dem Inhalt “XSS”. Natürlich wäre es möglich gewesen, jede andere Art Schadcode auf der entsprechenden Clientebene auszuführen.
Diese Lücke meldeten wir am 06.04.2013 an das Zynga Security Team, welches zwei Wochen später antwortete, und uns mitteilte, dass diese XSS Lücke nicht ausnutzbar wäre. In diesem Punkt müssen wir Zyngas Security Team zustimmen, denn eine etwas zu lang gestylte Überschrift (mit dem Tag h1 ) überdeckt diese Share-buttons. Damit können diese nicht verwendet werden, und somit kann die XSS auch nicht getriggered werden. Wir hatten dem Security Team allerdings erklärt, dass es besser wäre trotzdem die Eingaben zu filtern, denn es genüge den CSS Fehler zu beheben, damit die XSS funktionsfähig würde. Damit war diese Sicherheitslücke für das Security Team nicht mehr von Relevanz, denn diese ist bis zum Zeitpunkt der Artikelveröffentlichung nicht behoben worden.
Da wir uns natürlich nicht so leicht entmutigen lassen, suchten wir nach einer Seite, bei welcher die Überschrift nicht die Share-Buttons überdeckt werden - und wir wurden fündig. Wir informierten das Security Team erneut, und teilten mit, dass die angesprochene Lücke an anderer Stelle leicht ausnutzbar ist.
1
|
|
Auf dieser Webseite sind die Share-Buttons mittlerweile ohne XSS nutzbar.
Die Antwort, in der man uns mitteilte, dass die beschriebene Lücke gültig sei, und man diese fixen würde, erhielten wir eine Woche später. Zudem fragte man nach den Informationen für Zyngas Hall of Fame.
10 Tage später wurde die zuletzt angesprochene XSS Lücke behoben, womit wir diesen Fall, mit einem Platz in der Hall of Fame Zyngas, abschließen.
Das Team der Internetwache.org
Screenshots