r   e   k   l   a   m   a
r   e   k   l   a   m   a

Filtr XSS w IE8 niebezpieczny dla serwisów internetowych

Strona główna Aktualności

Eduardo Vela Nava oraz David Lindsay udostępnili w sieci prezentację i dokumentację opisującą atak cross-site scripting (XSS) wymierzony w serwis internetowy, który wykorzystuje obecny w Internet Explorerze 8 filtr chroniący użytkowników przed... atakami XSS.

Opisywany filtr został dodany do IE8 w sierpniu ubiegłego roku i miał chronić użytkowników przed atakami XSS typu reflection, które mogły doprowadzić do kradzieży plików cookie, rejestrowania wpisywanego teksu bądź zmodyfikowania strony internetowej. Okazało się jednak, że wbudowany w IE8 filtr XSS świetnie nadaje się również do atakowania wybranych serwisów takich jak Google, Bing, Twitter czy Wikipedia. Microsoft wydał co prawda łaty MS10-002 i MS10-018, które usuwają większość problemów opisanych przez Lindsay'a i Vela Nava, jednak niektóre witryny dalej są podatne na niewłaściwe wykorzystanie filtru XSS w IE8.

Administratorom zagrożonych serwisów zalecono filtrowanie treści generowanych przez użytkowników, korzystanie z tokenów blokujących możliwość wystąpienia ataku cross-site request forgery (CSRF) lub nawet wyłączenie filtrów IE8. Ostatnia z możliwości jest jednak dość kontrowersyjna, gdyż pomimo swoich wad filtr XSS obecny w IE8 w pewnym stopniu chroni jednak użytkowników.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.