Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Jednym z najbardziej rozpowszechnionych ataków na aplikacje bazodanowe działające w sieci jest XSS. Przed umożliwiającymi je błędami nie ustrzegły się nawet największe portale. Czytelnik Dziennika Internautów znalazł takie luki na stronach TP i Orange, w tym drugim przypadku podatność można było wykorzystać do kradzieży cookies zalogowanego użytkownika.

Zrzut ekranu obrazujący wykorzystanie luki na stronie TP
fot. DI - Zrzut ekranu obrazujący wykorzystanie luki na stronie TP
Specjalista ds. bezpieczeństwa Iwo Graj w lipcu poinformował o luce w geolokalizatorze Zumi, który należy do Grupy Onet.pl. Teraz natomiast wziął pod lupę stronę internetową Telekomunikacji Polskiej. Sprawdził też witrynę "bratniej" firmy, czyli Orange - na obu znalazł błędy bezpieczeństwa. Zamieszczone obok zrzuty ekranu obrazują wykorzystanie odkrytych podatności.

Zrzut ekranu obrazujący wykorzystanie luki na stronie TP
fot. DI - Zrzut ekranu obrazujący wykorzystanie luki na stronie TP
Luka znaleziona na stronie TP występuje w module wyszukiwarki. Jak powiadomił nas jej odkrywca, jest to błąd typowy dla aplikacji internetowych, umożliwiający atak XSS (ang. cross-site scripting). Nie ustrzegły się go nawet największe serwisy, takie jak Onet, Allegro czy Nasza-Klasa. Ciężko jest go w jakiś sposób wykorzystać, prócz zmuszenia aplikacji do wykonania dowolnego kodu JavaScript - tłumaczy Iwo Graj.

Zrzut ekranu obrazujący wykorzystanie luki na stronie Orange - użytkownik niezalogowany
fot. DI - Zrzut ekranu obrazujący wykorzystanie luki na stronie Orange - użytkownik niezalogowany
Bardziej niebezpieczny wydaje się błąd odkryty na stronie Orange, pozwala on bowiem nie tylko na wykonanie kodu, ale także na kradzież ciasteczek (ang. cookies) - cyberprzestępca może w ten sposób pozyskać m.in. identyfikator zalogowanej sesji użytkownika. Potencjalna ofiara nie musi nigdzie klikać, wystarczy, że najedzie wskaźnikiem myszy na pole przeznaczone do wpisania numeru telefonu.

Kwestią czasu jest powstanie robaka internetowego, który wykorzystałby błąd w różnych celach - uważa ekspert. Co zagraża użytkownikom podatnej na atak strony? Może być wiele scenariuszy wykorzystania luki. Jej odkrywca wyjaśnia:

Użytkownik zalogowany na swoim koncie na stronie Orange.pl posiada zarówno skrzynkę wysłanych wiadomości, jak i numery, do których je wysyłał, a co gorsza dostęp do całej obsługi swojego konta - BOK Online i informacji dotyczących ostatnich połączeń, stanu konta i innych prywatnych informacji. Biorąc pod uwagę wszystkie aspekty i pomysłowość dzisiejszych cyberprzestępców, błąd jest nieco krytyczny, ponieważ najważniejsze jest bezpieczeństwo każdego człowieka, jego prywatność, zapewne tego wszyscy oczekują od firm, którym powierzają swoje interesy. Żyjemy obecnie w czasach, gdzie informacja może być najniebezpieczniejszą bronią w rękach szaleńca.

Zrzut ekranu obrazujący wykorzystanie luki na stronie Orange - użytkownik zalogowany
fot. DI - Zrzut ekranu obrazujący wykorzystanie luki na stronie Orange - użytkownik zalogowany
Dziennik Internautów poinformował Grupę TP o lukach znalezionych na należących do niej stronach. Bardzo dziękuję za zwrócenie uwagi na błąd. Usuniemy go tak szybko, jak będzie możliwe - odpisał Wojciech Jabczyński, rzecznik prasowy Telekomunikacji Polskiej i Orange. Nie udało nam się uzyskać bardziej obszernego komentarza. Jak zauważył Iwo Graj, specjaliści z Grupy TP rzeczywiście wzięli się jednak do pracy - w chwili pisania tego tekstu luka na stronie Orange była już naprawiona, na stronie TP jeszcze działała.

Niemal co tydzień redakcja Dziennika Internautów otrzymuje e-maile od Czytelników zawierające opisy luk w różnych serwisach internetowych. Z myślą o takich osobach przygotowaliśmy dwa artykuły:

 

Aktualizacja - 9.10.2009 godz. 9.50

Wojciech Jabczyński, rzecznik Grupy TP, poinformował redakcję Dziennika Internautów, że luka na stronie Telekomunikacji Polskiej również została już załatana.

Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl



« strona główna  -  do góry ^
Stopka
Publikacje
Nasze serwisy
Kanały dostępu
Polecamy
  • Ceneo
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.