r   e   k   l   a   m   a
reklama

Filtr XSS w IE8 niebezpieczny dla serwisów internetowych

Strona główna Aktualności

O autorze

Związał się z portalem dobreprogramy w 2009 roku. Zaczynał jako autor newsów, ma na koncie także kilka artykułów. Obecnie prowadzi cykl podsumowania blogów, w ramach którego opisuje tygodniową aktywność blogerów dobrychprogramów.

Eduardo Vela Nava oraz David Lindsay udostępnili w sieci prezentację i dokumentację opisującą atak cross-site scripting (XSS) wymierzony w serwis internetowy, który wykorzystuje obecny w Internet Explorerze 8 filtr chroniący użytkowników przed... atakami XSS.

Opisywany filtr został dodany do IE8 w sierpniu ubiegłego roku i miał chronić użytkowników przed atakami XSS typu reflection, które mogły doprowadzić do kradzieży plików cookie, rejestrowania wpisywanego teksu bądź zmodyfikowania strony internetowej. Okazało się jednak, że wbudowany w IE8 filtr XSS świetnie nadaje się również do atakowania wybranych serwisów takich jak Google, Bing, Twitter czy Wikipedia. Microsoft wydał co prawda łaty MS10-002 i MS10-018, które usuwają większość problemów opisanych przez Lindsay'a i Vela Nava, jednak niektóre witryny dalej są podatne na niewłaściwe wykorzystanie filtru XSS w IE8.

Administratorom zagrożonych serwisów zalecono filtrowanie treści generowanych przez użytkowników, korzystanie z tokenów blokujących możliwość wystąpienia ataku cross-site request forgery (CSRF) lub nawet wyłączenie filtrów IE8. Ostatnia z możliwości jest jednak dość kontrowersyjna, gdyż pomimo swoich wad filtr XSS obecny w IE8 w pewnym stopniu chroni jednak użytkowników.

© dobreprogramy
reklama
r   e   k   l   a   m   a

Komentarze

reklama
Polecamy w WP TechnologieWP TechnologieTest najlepszych telewizorów na Mundial