Cross-site scripting na stronie Netscape

Strona głównaCross-site scripting na stronie Netscape
27.07.2006 11:57
Grzegorz Niemirowski
Grzegorz Niemirowski

Na stronie Netscape.comnależącej do AOL wykryto podatność na cross-site scripting.Umożliwiało to umieszczanie własnych skryptów, które mogły np.zmieniać wygląd strony bądź też zawierać wirusy. Netscape.com jest serwisem na którym użytkownicy mogą umieszczaćswoje newsy, na które można potem głosować. Okazało się, że niebyło wykonywane porządne sprawdzanie tekstu wpisywanego przezużytkowników przez co można było przemycić skrypt w językuJavaScript. Błąd istniał przez kilka godzin i był wykorzystywany doumieszczania pop-upów oraz przekierowań na konkurencyjny serwis Digg. AOL twierdzi, że w tym czasienie umieszczono na stronie żadnego szkodliwego kodu. Przy okazji warto zauważyć, że obecnie wraz ze wzrosteminteraktywności stron WWW coraz łatwiej jest się na nie włamaćwykorzystując błędy w ich kodzie. Oprócz wspomnianego wstrzyknięciakodu JS bardzo często udaje się też SQL injection. Kiedyś włamywanosię głównie przez błędy w serwerach WWW albo systemachoperacyjnych. Dziś te sposoby tracą na znaczeniu gdyż główny wpływna bezpieczeństwo mają skrypty wykonywane na serwerze a pisaneprzez webmasterów, którzy z reguły mają mniejszą wiedzę z zakresubezpieczeństwa od administratorów.

Udostępnij:
Wybrane dla Ciebie
Komentarze (2)