Bezpečnosť Slovenských webov [XSS]

V poslednej dobe sa nám začali šíriť veľa správ, o rôznych XSS zraniteľnostiach. Tieto články samozrejme vyvolali veľké diskusie na naozaj veľa stránkach a tak som sa rozhodol niečo o tom napísať.

Tak v poslednej dobe sa nám začali šíriť vela správ, o rôznych XSS zraniteľnostiach. Tieto články samozrejme vyvolali veľké diskusie na naozaj veľa stránkach, tak sme sa rozhodli zapojiť aj my a už sme Vás informovali o XSS na: Zoznam.sk, emcdda.europa.eu , Bezpečnosti portálu centrum.sk či väčšiom teste , kde boli preskúmané weby ako SundayPhoto.sk / SundayPhoto.cz, Strategie.sk či Somvprahe.sk...

Takýto slušný počet známejších stránok náchylných na XSS sme nazbierali za necelé tri dni. Myslím že už len táto informácia dokazuje to že náchylnosť slovenských a českých na XSS stránok je dosť veľká. Zajtra si skúsim vyhradiť trošku voľného času napríklad dve hodiny a spravím taký rýchli prieskum [naozaj rýchli] 50 stránok, že ktoré na XSS zraniteľné budú... S Istotou Vám už teraz viem povedať že to bude viac ako 30 :)

Strašne veľa ľudí sa ma pýta čo tým že tieto zraniteľnosti uverejním dosiahnem Moja odpoveď na toto je strašne jednoduchá: Tým že článok uverejním a napíšem administrátorovi stránký si môžem byť istý že zase aj keď minimálne prispejem k zabezpečeniu stránky...

Centrum.sk Síce ešte v roku 2007 bol na blackhole uverejnený článok Na potulkach po (ne)bezpecnych slovenskych weboch a vcelku ma zaujalo že "centrum.sk" obstál na "výbornú"

Roachovi to nedalo a pozrel sa na to. Jeho článok o centrum.sk Na BH bolo napísané Centrum.sk Tento server ma potešil asi najviac zo vsetkych testovaných, všetko krásne ošetrené, či vyhľadávanie, či registrácia atď. Jeho programátori si zaslúžia aj 15-ty plat :D

Ja by som však uvažoval tak o jedenástom plate. http://pcblog.sk/www/?q=clanok/bezpe%C4%8Dnos%C5%A5-port%C3%A1lu-centrumsk - Všimnite si tam časť venovanú XSS

a potom si uvedomíte prečo o jedenástom plate... :))

Viac v článku o Xss na centrum.sk

Ďalej Zoznam.sk Test stránky dopadol asi takto: Podarilo sa nájsť 6 XSS 'Dier' v priebehu 15 minút...

Celý článok o Zoznam.sk

------------------------------------------------------------------------------------------------------------------------- Ako sa brániť XSS ? Kompletný článok Ako sa brániť pred XSS útokmi alebo v skratke :)) naozaj v skratke

neošetrený kód: ošetrený kód: ukážka ošetrenia pomocou htmlspecialchars

------------------------------------------------------------------------------------------------------------------------- Ale aby som nepísal len o našej republike napíšeme si niečo aj o zahraničí 28.01.2007 sa syslovi podarilo cez XSS hacknúť zive.cz 1.01.2008 bol uverejnený kompletný článok o hacku myspace [cez xss] 16.05.2008 objavená závažná XSS zraniteľnost na stránke PayPal 17.07.2008 zavažna XSS zraniteľnosť na rapidshare.com 06.06.2008 Správa z domoviny: V den spustenia videoalbumy.azet.sk - Objavenych niekoľko XSS zranitelnosti ale ako by to inak mohlo byť O:-) 03.06.2008 blog.cz - niekoľko XSS chýb 24.01.2008 - Mpaa.org 19.01.2008 - YouTube :)) a mnoho mnoho ďalších... Toto sú tie pre mňa aktuálne...

Související články

• Internet explorer 8: pôjde hlavne o bezpečnosť (14. červenece 08, 11:07)
• 35 k Slovenskych stranok je nedostupnych (29. září 08, 17:09)
• XSS v praxi (14. červenece 08, 10:07)
• XSS: 1.cz (27. červenece 08, 19:07)
• Cross-site scrtipting (XSS) (15. červenece 08, 09:07)
• Európske vládne stránky a XSS (16. červenece 08, 23:07)
• XSS test #1: Zoznam.sk (20. červenece 08, 14:07)