Prieskum náchylnosti stránok na XSS

Autor sa dištancuje od zneužitia tohto textu. Slúži výlučne ako poučenie pre programátorov webov. V priebehu 3 dní som spustil rozsiahly prieskum náchylnosti stránok na XSS. Pre tých, ktorý o XSS nič nevedia, XSS (Cross Site Scripting) je programátormi často podceňovaná chyba, ktorá využíva neošetrené vstupné políčka (inputy), cez ktoré sa útočník môže dostať až do administrátorského prostredia (ukradnutím "koláčikov" - cookies)...

Autor sa dištancuje od zneužitia tohto textu. Slúži výlučne ako poučenie pre programátorov webov.

V priebehu 3 dní som spustil rozsiahly prieskum náchylnosti stránok na XSS. Pre tých, ktorý o XSS nič nevedia, XSS (Cross Site Scripting) je programátormi často podceňovaná chyba, ktorá využíva neošetrené vstupné políčka (inputy), cez ktoré sa útočník môže dostať až do administrátorského prostredia (ukradnutím "koláčikov" - cookies)...

Tak teda tu máte pár stránok, ktoré stoja za zmienku:

SundayPhoto.sk / SundayPhoto.cz Dlho som premýšľal, či zverejniť tieto informácie. Administrátora slovenskej lokalizácie tejto stránky (administrátora sundaphoto.sk) som dávnejšie kontaktoval, no jeho nečinnosť ma presvedčila, že lepšie je zverejniť celý môj prieskum. Aj jemu teda vďačíte za to, že môžete čítať tento môj blog. Táto stránka má sama o sebe pre mňa veľký význam, keďže je úplne prvá stránka náchylná na XSS útok, ktorú som našiel. Zaujímavosťou na nej je tiež skutočnosť, že ju má na "svedomí" SYMBIO - česká agentúra, ktorá teraz pracuje aj pre T-Mobile CZ, Mercedes-Benz CZ, či pre samotný Microsoft. LINK: http://www.sundayphoto.sk/.... Screenshot: ZOBRAZIŤ

Strategie.sk Ak sa zaujímate o marketing, určite ste už počuli o slovenskom časopise Stratégie. Ja som na ich stránku chodieval pravidelne a tak nemala šancu vyhnúť sa môjmu testu. Počiatočné skúšanie však bolo bez úspechu. Nakoniec som už len tak z nudy menil hodnoty všetkých premenných, keď to prišlo! Objavil som to. Bol som sebou nadšený, keďže v problematike XSS som nováčik. Celý nadšený som rovnakú fintu skúsil aj v ostatných dvoch formulároch a nadšenie sa spojilo s obrovským prekvapením. Nič nemali dostatočne chránené. (Verím, že článok o narastajúcej závislosti Európanov od internetu, ktorý som starostlivo vybral na link aj screen sa vám bude páčiť :D ) LINK: http://www.strategie.sk/.... Screenshot: ZOBRAZIŤ

Somvprahe.sk Tak a chcem sa s vami podeliť aj o príjemnú skúsenosť. Tohto administrátora som už vôbec nemal chuť kontaktovať. Za účelom hľadania ďalších chybičiek som sa na stránku registroval a keď som večer kontroloval e-mailovú schránku, našiel som upozornenie na správu v systéme somvprahe.sk. Išiel som to teda preveriť a bola to automatická správa od administrátora. Odpísal som mu teda a informoval som ho o XSS. Na moje prekvapenie, v ďalšej správe sa mi ihneď poďakoval a okamžite zablokoval chybnú stránku, takže vám nemôžem ponúknuť ani link a ani screenshot. Chybičku pre poučenie vám však rád priblížim. Celá stránka je proti XSS zabezpečená veľmi dobre. Na stránke sa však nachádzal slovník (myslím že česko-slovenský alebo naopak) a ten nebol zabezpečený. Administrátor (mimochodom príjemný človek) na to jednoducho zabudol... A prečo udávam aj tento príklad? Chcem vám ukázať, že tí správni administrátori, ktorým záleží na užívateľoch stále existujú! :)

V ďalšom blogu sa ešte budem venovať tejto téme. Medzi iným vám ukážem XSS na stránke Centrum.sk a ešte na dvoch európskych vládnych stránkach!

Související články

• 35 k Slovenskych stranok je nedostupnych (29. září 08, 17:09)
• XSS v praxi (14. červenece 08, 10:07)
• XSS: 1.cz (27. červenece 08, 19:07)
• Cross-site scrtipting (XSS) (15. červenece 08, 09:07)
• Európske vládne stránky a XSS (16. červenece 08, 23:07)
• XSS test #1: Zoznam.sk (20. červenece 08, 14:07)
• Bezpečnosť Slovenských webov [XSS] (19. červenece 08, 06:07)