Kommentointi

Etsi kommentti

MikaelMikael886pv sitten

XSS:ää pukkaa

http://www.ihminen.org/xss/

Noniin, maanantaina hommiin! ;-)

Aukkoja löytyi mm. osuuspankista ja Aktiasta.

katsottu 907 kertaa
Z64.4886pv sitten
Olet kyllä kaljat ansainnut kaikesta vaivannäöstä jonka olet tehnyt. Saisivat nuo isot pojat esim Osuuspankista ne sinulle tarjota. Ikävintä oli lukea ja testata, että jopa Tietokonelehti oli listalla ja homma toimi kuten kirjoitit. No, suutari ja suutarin lapset...

juolukkajuolukka885pv sitten
Sädnessiä pukkaa. Ois tuohon listaan lisättävää, mutta pitää tehdä vähän parempi demo vielä ennenku.
nikohak885pv sitten
Olisi kyllä ihan hyvä ilmoittaa myös ne sivustot joilta et löytänyt aukkoa.
MikaelMikael885pv sitten
nikohak: hyvä pointti, mutta aluks en löytäny esim. mtv3:selta - vasta toisella yrittämällä siis korkkaantu se. Eli "turvalliksi" havaituilta saiteilta voi löytyä vielä jotain. Enkä ole uskaltanu muuta kuin XSS:iä etsiä - muunlaisten vikojen etsiminen vois mennä laittomaksi.

Toisaalta moisia saitteja oli jotain alle viis. :-D Tyyliin viestintävirastoa/digitaa.

Z64.4: Kovasti on ihmiset kyllä sähköpostissa kiitelleet, voisin kuvitella että tän päivän aikana suurin osa korjaantuu. Toivottavasti. Tänään tulee myös mm. keskisuomalaiseen juttua+kuvaa, joten eiköhän se laita kiirettä semmosiinkin jotka ei oo ikävää julkisuutta vielä saaneet.

juolukka: laita sähköpostilla niin voin tsekata iltapäivällä, mulla on noita valmiita menetelmiä sen verran monta jo että melkee copypasteemalla menee. Tai laita sitten kun oot tutkinu, niin lisään nimelläsi tuonne mun listaan, parempi olla yhdessä paikassa. TAI edes linkitykset eri listojen välille.

Yhdestä omastakin duunijutusta löyty pari ikävää aukkoa, tosin ei omia koodailuja, mut silti pistää miettimään.
nikohak885pv sitten
No huhhuh. Itse arvelin, että varmaan 1/10 olisi sählännyt.
tomi885pv sitten
Hyviin tapoihin ei kuulu että aukkoja julkastaa missään foorumeilla ennenkuin ylläpitoa on infottu asiasta ja se on ehtinyt reagoimaan asiaan
MikaelMikael885pv sitten
Näinpä, mutta kyllä lopputulos taitaa tällä kertaa jäädä plussan puolelle. Tällä tavalla kun saadaan mediahuomiota herätettyä. Näitä aukkoja on tosiaan löytynyt ~100:lta eri saitilta jo (lähde cert-fi), itsellänikin on ollut jo vaikeuksia seurata tuota 30:n listaa että mitä on korjattu ja mihin ei edes viestit mene läpi ylläpidolle.

Eikä XSS oikeasti ole niin vakava, sen hyödyntäminen vaatii aika paljon yritystä. Who cares jos pinkkarista löytyy moinen, miten sitä ny vois vaarallisesti käyttää? Se on lähinnä noloa ja sen kanssa voi keppostella.
Smo885pv sitten
Millaisella menetelmällä sä käyt noita sivuja läpi? Oisko jotain vinkkiä millä vois testata omia tuotoksia?
gstepgstep885pv sitten
jokaiseen get-arvoon mihin sivustolla törmäät tai lomakkeissa näet, laitat tägejä tai tägejä heksana. Sillä se lähtee käyntiin.

Pinkkaria tilkittiinkin pari kk. takaperin mutta nyt osattiin olla vielä ovelia ja laittaa tägit heksana sisään. Nyt tämäkin on hoidossa.

Tosiaan kompaten Sammon viestintäpäälikköä XSS asioista: "eihän se nyt aukko ole mutta voihan sitä sellaiseksikin kutsua". Enemmän tuo on kiusantekoa kuin todellinen ongelma suurimmalle osalle saiteista. Mutta tietysti tahot joissa on arkaluontoista tietoa ovat riskiympäristöjä.
MikaelMikael885pv sitten
gsteppiä kompaten:

Tietoturvallisuus on oikeasti vaarassa sivustoilla joilla:
1. liikkuu rahaa
2. liikkuu arkaluontoista dataa
3. on linkkejä maksupalveluihin (esim. verkkokaupat)

Jep. Elikkä muokkaamalla get arvoja ja formien input-kenttien nimiä getiksi laittamalla (joskus toimii sekä post että get-arvoilla). Helpoiten löytyy kun kirjoittaa hakukenttään spam">spam -- jos spam-sana ilmestyy jonnekkin päin sivuston lähdekoodia (view source), voi sitten lähteä jatkotutkimaan.

Yleensä haavoittuvia ovat:

- Formit jotka virheellisen/puutteellisen tiedon esiintyessä esitäyttävät input-kentät käyttäjän lähettämällä datalla.
- Palvelut jotka hakevat staattista sisältöä osoitteen perusteella, kuten video- ja kuvapalvelut. Uutissaiteilla XSS aukko on yleensä videosalissa tai vastaavassa.
- "Tulosta sivu" -linkit jotka kopioivat href-osoitteeksi suoraan sivuston nykyisen URLin jollain &tulosta=true-täpillä. Eli http://www.sivu.fi/?spam -- spam menee suoraan html:ään.
- Javascript tilastointi yms. kikkareet jotka tulosta sivu -linkin tapaan sisällyttävät osoitteen sivuston html:ään.


Uskomattomin johon törmäsin oli Stakesin aukko ( http://tinyurl.com/2p2jlq ) jossa kun kirjoitan hakutulokseen javascriptiä, palvelu muokkaa sen paljon siistimmäksi mitä itse alunperin olin kirjoittanut. :-D

[script]alert()[/script]

siis muuttuu muotoon:

[script type="text/javascript"]
//[![CDATA[
alert()
//]]]
[/script][noscript][/noscript]
sherlokki885pv sitten
mikael, kai sä olet tietoinen että toi sun ihminen.org on helposti kaapattavissa? eli se siitä tietoturvasta

MikaelMikael885pv sitten
"eli se siitä tietoturvasta"

Näinpä, internet ei ole turvallinen.

Keskarin haastattelussakin totesin, että ei se mitään jos joltain pikkuiselta kotisivuilta löytyy XSS-ongelmia - se on lähinnä noloa, mutta verkkopankin kohdalla se on oikeasti vaarallista. Konsultiksi tämän asian tiimoilta en rupeisi, koska en ole ammattiohjelmoija. ;-)

Mutta kiitos vinkistä! :-) Pitääpä pyytää palveluntarjoajaa päivittämään tiedot.
  • Sinun pitää kirjautua sisään voidaksesi kommentoida.
    Jos sinulla ei ole vielä käyttäjätunnusta, voit luoda sen hetkessä profiilinluonti-sivulta.