Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Nova měla vadné stránky. Útokem XSS na ně šlo pověsit cokoli

aktualizováno 
Televize Nova se nechala nachytat na chybu, na kterou sama upozorňovala ve své reportáži. Webové stránky televize jsou jednoduše napadnutelné. Útočník na ně může pověsit libovolný obsah a upravený odkaz rozeslat.

Technet na Nově? XSS snadno ošálí | foto: Technet.cz

Aktualizace: Chyba zabezpečení webu byla na náš podnět odstraněna. Na vyjádření tiskové mluvčí TV Nova zatím čekáme. 

Jednou z nejzáludnějších chyb zabezpečení webových stránek je možnost podvržení jejich obsahu. Může poškozovat provozovatele stránky i samotného návštěvníka. Anebo jenom pobavit.

Recesí nejspíše byl i XSS útok na web ČSSD, kdy místo předvolebních prohlášení stránka nabídla "antiparoubkovský" klip s názvem "Předvolební hymna - aneb začněte se bát". Informovali jsme o něm v tomto článku VIDEO: Web ČSSD napadli útočníci, vnutili mu loupežníky z pohádky.

O tomto XSS útoku informoval i zpravodajský web televize Nova, který teď paradoxně trpí úplně stejnou chybou. Jednoduchou úpravou v adresní řádce můžete upravit tento web třeba takto:

XSS

Samozřejmě, toto je hodně okaté. Ale stačí vytvořit vlastní zprávy v podobném layoutu, jako má napadený zpravodajský server, a rozeslat upravený odkaz. Čtenář pak nemusí poznat, že jde o podvrh.

Co je to XSS?

Cross-site scripting (zkráceně XSS) je název pro typ útoku na webové aplikace či stránky generované serverem. Tato zranitelnost umožní útočníkovi napadnout stránku podstrčením neočekávaných hodnot, což má za následek například zobrazení obsahu z jiného serveru. Jde o jeden z jednodušších způsobů napadení.

Účinky se liší podle konkrétního provedení - od neškodných vtipných hrátek, které maximálně zesměšní autory špatně zabezpečeného systému, až po vážné napadení uživatele prostřednictvím bezpečnostní díry na jeho systému, nebo dokonce trvalé poškození dat na napadeném serveru.

Obrana před XSS je relativně jednoduchá, je třeba "ošetřit" uživatelský vstup tak, aby nemohl vložit žádné znaky nebo sekvence, které by webová aplikace interpretovala jinak, než danému vstupu přísluší, například jako spustitelný script.

Jak konkrétně může XSS ohrozit běžného uživatele?

Pokud by stránka, která uchovává citlivá data uživatelů, byla napadnutelná XSS, může útočník pomocí XSS vložit na stránku vlastní přihlašovací formulář. Pak pošle uživatelům hromadný mail, třeba o tom, že jsou na dané stránce nové podmínky použití, které musí uživatel odsouhlasit.

Odkaz v e-mailu je doplněn o XSS útok a uživatel se tak dostane na stránku s falešným přihlašovacím formulářem. Přestože některé prohlížeče (např. Internet Explorer 8) jsou schopny XSS útok rozpoznat, je velká šance, že uživatel naletí a do formuláře svoje jméno a heslo vloží. Údaje se pak okamžitě pošlou útočníkovi.

XSS

Internet Explorer 8 rozpoznal XSS upravení stránky a načtení podstrčeného obsahu zablokoval. Informuje o tom vrchní informační řádek.

Je tak na webmasterovi, aby aplikaci důkladně zabezpečil, a to jak proti XSS, tak proti SQL Injection, dalšímu z rozšířených útoků.

Zabezpečení spočívá, jednoduše řečeno, v důsledné aplikaci českého přísloví "dvakrát měř, jednou řež" - každý vstup je třeba ošetřit a odvšivit od nepřípustných znaků, než jej systém pustí dále.





Hlavní zprávy

Další z rubriky

Aplikace Uber
Apple nechal Uberu vlastní funkci, která umí nahrávat obrazovku uživatelů

Apple umožnil taxikářské aplikaci Uber kvůli aplikaci pro hodinky iWatch snímat obrazovky mobilních zařízení.   celý článek

Vizualizace struktury diskuze Kialo.com
Dá se na internetu diskutovat rozumně? Platforma Kialo to chce zkusit

Nová platforma chce nabídnout nástroj pro racionální debaty. Snaží se o to především strukturováním diskuze a upřednostňováním podepřených argumentů.  celý článek

FarmaNaDlani.cz
Tipy na zajímavé weby: Kde nakoupit na farmách, ukáže interaktivní mapa

Čím dál víc lidí zajímá, kde se dá nakupovat lokálně a ne od velkovýrobců či zahraniční produkty. Pěstitele a výrobce snadno najdete na mapě FarmaNaDlani.cz....  celý článek

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.