Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Nova měla vadné stránky. Útokem XSS na ně šlo pověsit cokoli

aktualizováno 
Televize Nova se nechala nachytat na chybu, na kterou sama upozorňovala ve své reportáži. Webové stránky televize jsou jednoduše napadnutelné. Útočník na ně může pověsit libovolný obsah a upravený odkaz rozeslat.

Technet na Nově? XSS snadno ošálí | foto: Technet.cz

Aktualizace: Chyba zabezpečení webu byla na náš podnět odstraněna. Na vyjádření tiskové mluvčí TV Nova zatím čekáme. 

Jednou z nejzáludnějších chyb zabezpečení webových stránek je možnost podvržení jejich obsahu. Může poškozovat provozovatele stránky i samotného návštěvníka. Anebo jenom pobavit.

Recesí nejspíše byl i XSS útok na web ČSSD, kdy místo předvolebních prohlášení stránka nabídla "antiparoubkovský" klip s názvem "Předvolební hymna - aneb začněte se bát". Informovali jsme o něm v tomto článku VIDEO: Web ČSSD napadli útočníci, vnutili mu loupežníky z pohádky.

O tomto XSS útoku informoval i zpravodajský web televize Nova, který teď paradoxně trpí úplně stejnou chybou. Jednoduchou úpravou v adresní řádce můžete upravit tento web třeba takto:

XSS

Samozřejmě, toto je hodně okaté. Ale stačí vytvořit vlastní zprávy v podobném layoutu, jako má napadený zpravodajský server, a rozeslat upravený odkaz. Čtenář pak nemusí poznat, že jde o podvrh.

Co je to XSS?

Cross-site scripting (zkráceně XSS) je název pro typ útoku na webové aplikace či stránky generované serverem. Tato zranitelnost umožní útočníkovi napadnout stránku podstrčením neočekávaných hodnot, což má za následek například zobrazení obsahu z jiného serveru. Jde o jeden z jednodušších způsobů napadení.

Účinky se liší podle konkrétního provedení - od neškodných vtipných hrátek, které maximálně zesměšní autory špatně zabezpečeného systému, až po vážné napadení uživatele prostřednictvím bezpečnostní díry na jeho systému, nebo dokonce trvalé poškození dat na napadeném serveru.

Obrana před XSS je relativně jednoduchá, je třeba "ošetřit" uživatelský vstup tak, aby nemohl vložit žádné znaky nebo sekvence, které by webová aplikace interpretovala jinak, než danému vstupu přísluší, například jako spustitelný script.

Jak konkrétně může XSS ohrozit běžného uživatele?

Pokud by stránka, která uchovává citlivá data uživatelů, byla napadnutelná XSS, může útočník pomocí XSS vložit na stránku vlastní přihlašovací formulář. Pak pošle uživatelům hromadný mail, třeba o tom, že jsou na dané stránce nové podmínky použití, které musí uživatel odsouhlasit.

Odkaz v e-mailu je doplněn o XSS útok a uživatel se tak dostane na stránku s falešným přihlašovacím formulářem. Přestože některé prohlížeče (např. Internet Explorer 8) jsou schopny XSS útok rozpoznat, je velká šance, že uživatel naletí a do formuláře svoje jméno a heslo vloží. Údaje se pak okamžitě pošlou útočníkovi.

XSS

Internet Explorer 8 rozpoznal XSS upravení stránky a načtení podstrčeného obsahu zablokoval. Informuje o tom vrchní informační řádek.

Je tak na webmasterovi, aby aplikaci důkladně zabezpečil, a to jak proti XSS, tak proti SQL Injection, dalšímu z rozšířených útoků.

Zabezpečení spočívá, jednoduše řečeno, v důsledné aplikaci českého přísloví "dvakrát měř, jednou řež" - každý vstup je třeba ošetřit a odvšivit od nepřípustných znaků, než jej systém pustí dále.





Hlavní zprávy

Další z rubriky

Nová aplikace propojí největší sociální síť s bleším trhem
Kladivo na Aukro? On-line „blešák“ Facebook Marketplace míří do Česka

Aplikace pro prodej a nákup mezi jednotlivci, Facebook Marketplace, bude do konce srpna dostupná i českým uživatelům. Zda dokáže přetáhnout uživatele portálu...  celý článek

Hacker Marcus Hutchins (na snímku z 15. května 2017)
V USA zatkli hackera, který zastavil šíření viru WannaCry

Hacker, kterému se v květnu podařilo zastavit masové šíření vyděračského počítačového viru WannaCry, byl zatčen v USA. Mladý Brit Marcus Hutchins, vystupující...  celý článek

Logo bitcoinu
Bitcoin se rozdělí na dvě měny. Může to snížit cenu původního bitcoinu

Vedle klasického bitcoinu vzniká nová virtuální měna bitcoin cash. Uživatelé si budou moci vybrat, kterou budou používat.   celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.