באמצע דצמבר כתבתי על פירצת אבטחה חמורה בשירות הדואר של וואלה!, שגיליתי עוד באקטובר. הם חזרו אליי כעבור עשרה ימי עבודה מהיום בו הודעתי להם (במקום שלושה, כפי שהם מתחייבים). תיארתי להם את הפירצה ואת רמת חומרתה, ולא שמעתי מהם מאז.

כנראה מתישהו בשבועיים האחרונים - כחודשיים לאחר ההודעה הראשונית - הם תיקנו אותה, ולכן אני יכול לחשוף את פרטיה.

תוכנת הדואר שלהם מכילה שלושה פריימים עיקריים - רשימת התיקיות מימין, רשימת ההודעות בתיקייה למעלה ופרטי ההודעה למטה. כשלוחצים על הודעה בפריים העליון, היא נפתחת בתחתון. בקוד הג'אווהסקריפט של הפריים התחתון בזמן הצגת הודעה מופיעות השורות הבאות:

afrom=new Array();
afrom.email="johndoe@example.com";
afrom.name="John Doe";

זה קוד ג'אווהסקריפט שנוצר באופן דינאמי בצד השרת, ומכיל את שמו וכתובתו של שולח ההודעה. בעוד שעל כתובת דואר אלקטרוני חלים חוקי תחביר נוקשים, שם השולח יכול להכיל כל תו שהוא. שירותים מסויימים כמו Gmail מגבילים שימוש בחלק מהתווים, אבל שרתי SMTP רגילים לא, ואפשר לעשות איתם כמעט כל מה שרוצים.

אם, לדוגמה, שם השולח היה John " + "123″ + " Doe, התוצאה בקוד הג'אווהסקריפט היתה נראית כך:

afrom.name="John " + "123" + " Doe";

ושם השולח היה מוצג בחלון התצוגה כ "John 123 Doe".

ואפשר גם משהו כזה:

afrom.name="John " + function(){alert("Boo!");}() + " Doe";

שיגרום להודעה "Boo!" לקפוץ בעת קריאת הדואר.

פירצה כזו נקראת Javascript Injection, והיא מאפשרת לצד-שלישי להחדיר קוד ג'אווהסקריפט לדף של אתר כלשהו, ולגרום לו לרוץ בדפדפן של הגולש תחת הדומיין של האתר עצמו. הדפדפן לא יודע שהקוד שהוא מריץ לא שייך לאתר באמת, ולכן מאפשר לו לעשות דברים רעים כמו לקרוא את הקוקי של המשתמש. אם התוקף ישלח את הקוקי בחזרה אליו, הוא יכול להתחזות אל בעל התיבה ולקבל גישה לחשבונו.

היופי במקרה המסויים הזה הוא שהקוד מורץ באופן מיידי בעת הצגת ההודעה. אין צורך לתחמן את הצד המותקף ללחוץ על לינק, פשוט לשלוח את ההודעה ולחכות שיקרא אותה. גם אם המותקף יבין שההודעה חשודה עוד לפני שיפתח אותה וינסה למחוק אותה, ההודעה תוצג (כי ככה בחרו לעשות את זה בוואלה!) והקוד הזדוני יפעל. הדרך היחידה של המותקף להגן על עצמו היא להימנע כלל מללחוץ על ההודעה. תוסיפו לזה את האפשרות להוסיף שתי שורות קוד שיגרמו להודעה למחוק את עצמה מיד לאחר הפתיחה, ותקבלו פצצת אימייל שגונבת את הרשאות החיבור לחשבון ולא משאירה אחריה עקבות בתיבת המותקף.

איך וואלה! היו צריכים להגן על משתמשיהם? פשוט להחליף את התו " בסימן ;quot& שמייצג מרכאות, מה שהם כבר עשו עם נושא ההודעה.

אגב, יש עוד בעיית אבטחה טפשית להדהים בשירות הדואר של וואלה! המאפשרת לגנוב את סיסמת המשתמש (ולא את הקוקיז), אבל לא אפרסם אותה עדיין כי משום מה הם לא תיקנו אותה. ממש ממש טפשית.