Egész oldalas támadás a LinkedIn ellen

Alig telt el néhány nap a LinkedIn sebezhetőségének bejelentése óta, máris egy újabb biztonsági rést kellett foltozniuk a fejlesztőknek.
 

A múlt héten arról számoltunk be, hogy a LinkedIn egy biztonsági hiba miatt XSS (cross site scripting) típusú támadásokra adhatott lehetőséget, aminek következtében az elkövetők bizalmas adatokhoz férhettek hozzá, és egyéb nemkívánatos online tevékenységeket hajthattak végre. Ezt a sérülékenységet a Help Center alól elérhető "Start a Discussion" nevű weboldal tartalmazta. Az azon található űrlap egyik beviteli mezőjébe script kódokat is meg lehetett adni, amit a LinkedIn eltárolt. A bejegyzés elmentése, valamint a saját bejegyzések megtekintése után a korábban megadott script lefutott a böngészőben.
 
A hibák sora azonban nem ért véget, mivel a közösségi oldal üzemeltetői elismerték, hogy egy másik, még "érdekesebb" sebezhetőséggel is volt dolguk az elmúlt napokban. Ezt Ruben van Vreeland, a BitSensor elnök-vezérigazgatója fedezte fel, és jelezte a LinkedIn illetékes munkatársainak, akik hamar orvosolták a problémát.
 
A biztonsági rést az okozta, hogy a LinkedIn túlságosan engedékeny volt a CSS-kódok használatakor. A közösségi oldalon a felhasználók bizonyos mértékig megadhatnak HTML-kódokat és CSS-stílusokat. A HTML résszel most nem volt gond, de a CSS-ellenőrzésbe egy hiba csúszott. Ennek kihasználásával elérhető volt, hogy egy támadó hivatkozást helyezzen el a stílusok közé (egészen pontosan az li_style használatával). Ez a link pedig "beterítette" az egész oldalt, vagyis bárhova kattintott a látogató, a hivatkozás révén eljutott arra az oldalra, amit a támadó kiválasztott. Ekkor pedig kártékony weblap jelenhetett meg a böngészőben, ami vírusterjesztést és adathalászatot is elősegíthetett.
 
A LinkedIn általában nem szokta nyilvánosságra hozni a biztonsági kutatók által feltárt sebezhetőségek részleteit, de ez esetben azért tett kivételt, mivel a sérülékenység egy "érdekes" technikára épül, és sok tanulsággal szolgál.
 
A vállalat jelezte, hogy az elmúlt egy év során több mint 65 ezer dollárt fizetett ki azon szakemberek számára, akik első kézből jeleztek számára biztonsági problémákat.