איך איבדתי גישה לחשבון שלי

[על מה אני מדבר]

איך איבדתי גישה לחשבון שלי

כולנו כבר יודעים שתפוז הוא אתר לא מאובטח בעליל.
עד לא מזמן סיסמאות המשתמשים נשמרו בצורה לא מוצפנת (plain text) בדטהבייס.
איני יודע אם זה גם המצב היום, אבל גם במקרה שכבר לא, אני משוכנע שהם משתמשים באיזשהו hashing בסיסי, אולי אפילו ללא salt, ובטוח שללא KDF.
התוצאה היא לא רחוקה מלשמור את הסיסמא ב-plain text.
אי לכך החלטתי להחליף את הסיסמא שלי בסיסמא חדשה, אקראית לחלוטין כך שגם אם תיפרץ לא תשליך על חשבונות אחרים שלי בתפוז ובאתרים אחרים (רוב האנשים משתמשים באותה סיסמא או במספר מצומצם של סיסמאות זהות בכל שירותי הרשת שלהם, או לחילופין באיזושהי קומבינציית תווים דומה החוזרת על עצמה).

המחשבה שלי הגיונית עד כאן, נכון? אני עוד אשלם עליה...

הסיסמא שנבחרה לחשבון שלי היתה:
<lv`RHSM1yw1kYba&FYZ


די מסובכת לגילוי בכל סוגי הפריצות הקיימות, ועומדת בסטנדרטים המחמירים של בחירת סיסמא.
שינוי הסיסמא בחשבון עברה בצורה חלקה: הזנת הסיסמא הישנה, פעמיים הסיסמא החדשה, ואישור.
ברשותי מספר חשבונות בתפוז, כך שבשלב מסויים ביצעתי יציאה מהחשבון הזה והתחברתי לחשבון אחר.
כאשר ניסיתי לחזור לחשבון הזה - פאף! הודעת שגיאה. לא הודעה שהסיסמא שגויה, אלא ממש שגיאת מערכת! (צילום)
מסתבר שמשהו בסיסמא שלי לא מצא חן בעייני תפוז, או במילים אחרות תפוז לא יודע להתמודד עם תווים מיוחדים.
מילא לא יודע להתמודד איתם, אבל למה אישרתם אותם בסיסמא החדשה שלי?
החלפת הסיסמא עברה בצורה חלקה, אך אין אפשרות לבצע כניסה לחשבון אם הסיסמא מכילה תווים מיוחדים, במיוחד התו >.
כנראה תפוז משתמשים בבדיקה גנרית של שדות הקלט, ומעיפים תווים עם פוטנציאל לבעיות (התו > משמש פתיחת תג HTML).
לא משנה שהדרך הנכונה להתמודד עם תו כזה היא לעשות לו encoding בפלט ולא לאסור אותו כליל כי אז השימושיות נפגעת, אבל מה הבעיה בתו הזה בתור חלק מסיסמא?
מבחינת אבטחה לא רק שאין איתו שום בעיה כחלק מסיסמא, הוא אפילו מומלץ ומגביר את איכות הסיסמא.
אבל כאמור, אבטחה בתפוז היא מהם והלאה.

טוב, עכשיו אני נעול מחוץ לחשבון שלי. מה עושים?
אני מודה שיש בי רשלנות תורמת. מכיוון שכאמור יש לי מספר חשבונות בתפוז, לחלקם נרשמתי עם חשבונות דואר חד-פעמיים, כלומר במילים אחרות אין לי מושג עם איזו כתובת דואר נרשמתי לחשבון. אי לכך לא ניתן לבצע שחזור סיסמא, כך שהאופציה הזאת ירדה מהפרק.
בהודעת השגיאה ישנו קישור לפורום משוב. החלטתי לכתוב שם הודעה ולבקש עזרה. הבעיה: צריך חשבון כדי לכתוב שם... הפיתרון: יצירת עוד חשבון עם כתובת אימייל חד-פעמית. אוקיי, החשבון נוצר, כתבתי את ההודעה ושלחתי, ו... מסתבר שבפורום משוב הודעות לא מתפרסמות באופן מיידי אלא רק לאחר אישור מנהל. הבעיה: ביום חמישי בסביבות שעה 19:00 כבר אין מנהלים בתפוז. כלומר ההודעה לא תאושר עד יום ראשון במקרה הטוב, וגם אז לא בטוח בכלל שאזכה לסיוע. סביר שבמקרה הטוב אקבל תגובה שאומרת לבצע שחזור סיסמא. זה שאין לי גישה לתיבת הדואר יותר - זו בעיה שלי. בעיקרון אני מסכים חלקית עם הטענה הזאת: ידעתי בעת יצירת החשבון שלא אוכל לאחזר סיסמאות בעתיד, ולכן הייתי אחראי מספיק לזכור את הסיסמאות שלי ולא להזדקק לשירותי האחזור. הסיבה היחידה שאני זקוק לאחזור במקרה הזה היא רשלנות של תפוז.

בכל מקרה זאת כנראה לא תהיה הדרך להשיג מחדש גישה לחשבון שלי.
כמו שאתם רואים אני מפרסם הודעה זו תחת החשבון שלי, כך שבסופו של דבר הצלחתי להחזיר לעצמי גישה אליו.

האם מישהו יצליח לנחש כיצד עשיתי זאת?

 

[CMD]

נסיון..

אם אתה טוען כי תפוז מעיפים תווים עם פוטנציאל לבעיות..
אז פשוט הקשת את הסיסמה הדשה ללא 'התו הבעייתי'..

 

[עוץליגוץלי]

מנהל מפזרת הביצים

 

[איתי 89]

שינית ידנית את העוגיה ?

 

[rj111]

esacape sequence / html injection ?

 

[rj111]

escape sequence ...

או קוד HTML:

<

 

[הללויה בייבי]

המרת את התו >

ל- &#139; ?

 

[הללויה בייבי]

חח זה ממיר אוטומטית

התכוונתי ל - & # 139 ;

 

[על מה אני מדבר]

סיכום ביניים

אני מופתע לטובה מהתשובות שלכם חברים! חשיבה יצירתית.
הפיתרון הוא הרבה יותר פשוט ממה שאתם חושבים.
טיפ: תחשבו יותר כמשתמשים ופחות כמתכנתים.

אני אתייחס לתשובותיכם:

CMD (הקשת סיסמא ללא התו >)
רעיון יפה! לצערי זה לא עבד, התקבלה הודעה שהסיסמא שגויה. ניסיתי גם להחליף את התו > במקבילות שונות כגון:
;lt&amp;
;#60&amp;
x3c\
אך לשווא.

עוץליגוץלי ("מנהל מפזרת הביצים")
לא הבנתי את התגובה, תוכל לפרט?

איתי 89 (שינוי cookie)
חשיבה יפה, אך לצערי (או לשמחתי) לא ישימה, כי המשמעות של מהלך כזה היא אפשרות התחזות לכל משתמש בתפוז.

escape sequence / html injection) rj111)
לא ממש הבנתי את כוונתך. האם ב-escape sequence אתה מתכוון למה שניסיתי לעשות בתשובה ל-CMD?
לא הבנתי כיצד html injection יכול לעזור במקרה הזה...

 

[kinging123]

אני לא מבין מה הבעיה לשנות עוגיה

אתה צודק כנראה שא אפשר, אבל בFireBug אני יכול לכתוב קוד JS קצר שעושה שכשלוחצים על כפתור הוא יוצר עוגיה עם נתונים אחרים שתחליף את העוגיה הקודמת. ברור שמשמעות של דבר כזה היא פריצה לכל חשבון, אבל אין סיבה שזה לא יעבוד. הרי העוגיות נשמרות בצד הלקוח, לא בצד השרת. בטוח יש כלים שמאפשרים לשנות ולערוך עוגיות דפדפן.

 

[על מה אני מדבר]

הבעיה לא בשינוי העוגיה

ברור שטכנית זה אפשרי.
השאלה למה תשנה אותה? איך תדע איזה ערך לשתול בה?

 

[עוץליגוץלי]

לזה התכוונתי ב"מנהל מטילת הביצים" (קוקיה)

בעבר היה לתפוז באג - הם שמרו בקוקי את הID שלך, ו"עשה login מוצלח" בלבד. חשבתי שעלית על באג דומה.

 

[על מה אני מדבר]

לא מפתיע אותי בכלל...

 

[kinging123]

אוקי, עדיין

נניח שאני נמצא אצל מישהו אני נכנס למנהל "מפזרת הביצים" ובודק מה רשום תחת העוגיה X, ואז כשאני חוזר הביתה אני מכניס את הנתונים ופורץ לו לחשבון.

 

[rj111]

escape sequence זה

x3c\

ו-html code זה

; 60 # & בלי הרווחים (קודם כתבתי בלי רווחים והוצג >)

HTML injection זה להכניס סקריפט, למשל ב-PHP במקום הסיסמא.

 

[rj111]

עוד כמה הצעות

,lv`RHSM1yw1kYba&FYZ
<<lv`RHSM1yw1kYba&FYZ
<<<lv`RHSM1yw1kYba&FYZ

 

[על מה אני מדבר]

כל סיסמא שמכילה את התו > גורמת לשגיאת מערכת

שימוש בקוד PHP גם לא היה מתקבל מפאת תג הפתיחה שגם מתחיל בתו >.
בכל מקרה אני בספק רב אם זה היה מצליח. הדרך היחידה שזה היה מצליח היא אם תפוז עושים eval על הסיסמא, אבל איזו סיבה שבעולם יש להם לעשות דבר כזה?

 

[איתי 89]

בקשר לשינוי עוגיה

יש מערכות (לא יודע בקשר לתפוז) ששומרות בעוגיה ID וסיסמה מוצפנת, ואיתם מזדהה מול השרת.
אם זה היה המצב, כל מה שנותר לך לעשות זה לשנות את ה-ID ולנחש באיזו הצפנה הם עובדים (לא מצפה מהם שיעבדו עם salts וכאלה). את הסיסמה אתה כבר יודע אז אתה מצפין אותה ושם בעוגיה.

עבד לי בכמה מקרים (הכל חוקי כמובן)

 

[tenen]

העתקת עוגיה ממחשב אחר בו אתה עדיין looged in?

 

[על מה אני מדבר]

אחלה רעיון

וזה גם היה מצליח, אם באמת הייתי מחובר לחשבון שלי במחשב אחר, אבל זה לא היה המצב...