Saunalahden webmail & XSS
19.10.2012
Muokattu: 10.3.2019 01:11
Käytettävissäni on Saunalahden sähköpostitili ja kokeilin miten heidän webmailinsa toimii, erityisesti asia kiinnosti tietoturvan kannalta. Yritin saada JavaScriptia suoritettua selaimessa lähettämällä sähköpostia itselleni ja lukemalla postit webmailissa. Se osoittautuikin yllättävän helpoksi.
Ensimmäinen vakavampi aukko
Sähköpostin otsikon <a>-tageihin pääsee käsiksi lähettämällä otsikossa lainausmerkin("), jonka jälkeen voi antaa ominaisuuksia, joita <a>:lle voi antaa. Koska haluan suorittaa JavaScriptia, kiinnostavimpia ovat ominaisuudet erilaisille käyttäjän aiheuttamille tapahtumille, kuten hiiren liikuttamiselle, joille voidaan antaa tapahtumankäsittelijä esim. onmousemove-ominaisuudella. Näin saadaan JavaScriptia suoritettua, kun hiirtä liikutetaan kyseisen otsikon kohdalla. Tässä yritän vain saada alert-ponnahdusikkunan näkyville todetakseni helposti, että JavaScript-koodini suoritetaan.


Koodi näkyy otsikossa ja alert-ikkuna ponnahtaa.

Lähdekoodi.
Otin yhteyttä Saunalahteen lähettämällä palautetta 28.10. 2011, aukko korjattiin 22.11. 2011.
Toinen aukko
Toinen löytämäni tapa sisällyttää JavaScriptia HTML:n, on lähettää sitä suoraan viestissä. Toimiakseen tämä vaatii vastaanottajalta postin katsomisen, HTML:n sallimisen postia lukiessa(tämä on oletuksena poissa päältä) ja luonnollisesti JavaScriptin päällä olemisen selaimessa.
Script-tagit suodatetaan normaalisti pois, mutta se voidaan ohittaa esim. lisäämällä '<' ensimmäisen script-tagin eteen.


Ed. mainitsemieni ehtojen täyttyessä postia lukiessa alert-ikkuna ponnahtaa jälleen. Selaimet eivät ole niin tarkkoja HTML:n täydellisyydestä, joten yksi ylimääräinen pienempi kuin -merkki ei haittaa.
Tätä aukkoa ei ole korjattu vielä tähän päivään[0] mennessä.
Tämä oli ensimmäinen kerta, kun olin löytänyt tietoturva-aukon ja ilmoittanut siitä ja oli mukavaa huomata, että asenne Saunalahden puolelta oli myönteinen, kun monesta lähteestä on saanut lukea useiden yritysten olevan välinpitämättömiä tai vihamielisiä.
Sain valita myös muuta pelkkien kiitosten sijaan.


[0]: 19.10. 2012