Ataki XSS na żywo

Na forum Slackers rozpoczęła się nietypowa akcja - uczestnicy publikują coraz to nowe adresy serwisów internetowych firm, na których działają ataki Cross-Site Scripting (XSS). A wśród nich F5, Acunetix i NetDisaster...

Ataki Cross-Site Scripting umożliwiają wstawienie wrogiego kodu HTML, a w szczególności JavaScript do cudzych stron WWW. W rezultacie ofiara wchodząca na stronę zaatakowanej firmy uruchomi podrzucony tam kod, który może na przykład wykraść cookie z identyfikatorem sesji. A ten może być nieraz cenniejszy od niejednego hasła. Podrzucenie kodu jest możliwe przynajmniej na dwa sposoby - albo przy wykorzystaniu błędów w działąjących na stronie aplikacjach do prowadzenia forum, księgi gości itp albo przez wstawienie kodu do adresu URL, jeśli strona przekazuje przez ten adres np. treść jakiegoś komunikatu.

Oba rodzaje ataków XSS są wykorzystywane na przykład przez phisherów i ich obecność na stronie WWW dowolnej firmy nie jest raczej powodem do dumy. A już zwłaszcza w przypadku firm zajmującyh się bezpieczeństwem...

Tymczasem na forum Slackers około 6. sierpnia pojawił się pierwszy wpis z informacją o znalezieniu błędu XSS na stronie serwisu NinjaProxy. Zaraz po nim ktoś dopisał analogiczny błąd w serwise HP i tak dalej. W końcu znaleziono także dziury w serwisach specjalizujących się w bezpieczeństwie firm F5 i Acunetix. Zwłaszcza ta ostatnia jest zaskakująca, bo firma Acunetix specjalizuje się właśnie w bezpieczeństwie aplikacji webowych.

Wiele współczesnych produktów IDS/IPS potrafi również filtrować i blokować ataki XSS, jednak ze względu na ich specyfikę (niektóre aplikacje webowe przyjmują tagi HTML) ochrona ;rzed nimi to przede wszystkich profilaktyka i ostrożność przy pisaniu aplikacji webowych, w szczególności filtrowanie przysyłanych przez użytkownika danych wejściowych pod kątem obecności tagów HTML i ich filtrowanie.