Czytelnik Dziennika Internautów, używający pseudonimu Alladyn, poinformował nas o błędzie XSS (cross-site scripting) w serwisie pocztowym Onet.pl. Istnienie luki potwierdził współpracujący z DI ekspert.
reklama
Zaprezentowany sposób ataku polega na osadzeniu w treści atakowanej strony kodu, który może doprowadzić do wykonania przez jej użytkownika niepożądanych akcji. Kod ten tworzony jest zwykle przy użyciu JavaScriptu, ale równie dobrze mogą do tego celu posłużyć inne technologie wykonywane po stronie klienta: Ajax, VBScript albo Flash.
Cross-site scripting pozwala m.in. na wykradanie wartości przechowywanych w ciasteczkach (ang. cookies). Jest to, obok iniekcji kodu SQL, jeden z najbardziej rozpowszechnionych ataków na aplikacje bazodanowe działające w sieci. Możliwość jego zastosowania w serwisie pocztowym Onet.pl potwierdził dla Dziennika Internautów konsultant ds. bezpieczeństwa Piotr Konieczny.
Komentując znaleziony błąd, ekspert powiedział: Programiści Onetu popełnili powszechny i najbardziej podstawowy błąd - w niektórych miejscach zapomnieli o filtrowaniu danych przekazywanych do webaplikacji przez użytkowników. Zdarza się każdemu - podobny błąd znajdował się parę lat temu w polu SUBJECT w Gmailu - poczcie od Google.
Czytelnik nie poinformował o swoim odkryciu administratorów Onet.pl, pozostawiając to nam. Na zgłoszenie Dziennika Internautów zareagował rzecznik prasowy portalu Paweł Klimiuk, który odpisał: Istnienie tej luki potwierdził nasz wczorajszy audyt. Należy ona do tzw. średniej kategorii błędów. W chwili pisania tego tekstu błąd był już usunięty, co potwierdziliśmy, logując się na testowane konto i otwierając spreparowany wcześniej e-mail.
Walka z błędami w oprogramowaniu przypomina walkę z wirusami i innymi zagrożeniami obecnymi w internecie - jest wyścigiem informatyków stojących po dwóch stronach wirtualnej barykady. Najważniejsze z punktu widzenia end-usera jest to, że w efekcie tego wyścigu do wykrywania i usuwania błędów w oprogramowaniu znacznie poprawia się bezpieczeństwo korzystania z internetu - skomentował zaistniałą sytuację Paweł Klimiuk, przy okazji odnotowując, że użytkownikom bezpłatnych kont pocztowych Onet.pl udostępnił ostatnio znany z kont płatnych system szyfrowania SSL.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*