CSRF ranjivost u Password Manageru Pro


Tijekom jednog od mnogih penetracijskih testova koje Infigo IS obavlja na dnevnoj bazi, naš sigurnosni stručnjak pronašao je sigurnosni propust u web aplikaciji Password Manager Pro

Infigov neustrašivi pen tester, Luka Šikić, tijekom jednog od svojih penetracijskih testova nabasao je na ranjivost u Zohovoj web aplikaciji Password Manager Pro. Testirana aplikacija nije imala zaštitu protiv tzv. CSRF napada.
Cross-site Request Forgery iskorištava povjerenje u internetskom pretraživaču između prijavljenog korisnika i web aplikacije u trenutku kad korisnik posjeti zloćudnu web stranicu. Ukoliko napadač postavi dobar unos, korisnikom pretraživač šalje GET ili POST HTTP zahtjev ranjivoj aplikaciji koristeći već autoriziranu sesiju.
Na taj način može se npr. promijeniti korisnikova "rola" (dakako, ukoliko korisnik ima tu dozvolu).
 
Proizvođač je obaviješten, ranjivost je ispravljena, a svi koji koriste spomenutu web aplikaciju trebali bi je ažurirati na zadnju verziju (u ovom trenutku verzija 10.4 (10403)). Ukoliko želite proučiti dobiveni CVE to možete napraviti ovdje.