in Säkerhet

Hittade en XSS-sårbarhet på 3com's hemsida

XSS (cross site scripting) är verkligen ett problem, allt för många hemsidor är sårbara och allt för många webbutvecklare är inte medvetna om hur lätt det är att skydda sig. Det går inte många dagar mellan varje XSS-sårbarhet man hittar på diverse sidor och söker man efter dem så ser man dem lite överallt. Idag hittade jag en på 3com’s hemsida.

Från Wikipedia: ”Cross site scripting (XSS) är ett datorrelaterat säkerhetsproblem. Ofta handlar det om att stjäla information som annars inte visas, eller förstöra en webbsidas utseende.”.

Man kan ju tycka att 3com, som utvecklar säkerhetsprodukter i form av bland annat routrar och switchar, borde vara väl medvetna om hur man skyddar sin sida mot XSS (det är helt enkelt inte svårt), men döm om min förvåning när jag upptäckte motsatsen.
I dag när jag var och surfade runt lite på 3com’s hemsida så hittade jag just en XSS-sårbarhet. Testade sårbarheten lite för att verifiera och det slutade med en fin och klassisk ”Hacked by”-sida. Jag tänker inte nämna vilken sida det hadlar om, och jag rekomenderar att ni inte försöker er på någonting som kan ge er en örfil från 3com.

Nu gjorde jag ingenting dumt, injectade bara lite simpel javascript-kod, inget som på något sätt förstörde eller ändrade någon data på webbservern. Hade jag däremot velat göra mindre lagliga saker så hade det nog inte varit några problem. Till exempel så hade jag kunnat göra en sida som snokade reda på besökares cookies och session-id och skickade dem till mig, för att sedan bara posta runt länken på diverse forum och hoppas på napp.

Tänk er en sådan sårbarhet på t ex en community, låt oss säga lunarstorm. Nu är jag inte helt insatt i hur lunarstorm hanterar inloggningar men jag gissar att det är via sessioner. Jag hade då enkelt kunnat sno andras sessioner och ändra deras presentation eller dyl. En mängd småttingar hade gått crazy bananas och jag hade förmodlingen åkt dit på det pga klantighet.

XSS är helt enkelt för skadligt för att vara så vanligt och enkelt att utnyttja.
Här är två nyttiga artiklar om XSS:
”Cross Site Scripting” /Swesecure.
”HTTP-only cookies, skydd mot XSS” /Swesecure.

Kan ge mig fanken på att det även finns sårbarheter på mina egna webbsidor, dags att gå igenom…när jag orkar…

Notis: Ang sårbarheten 3com’s hemsida så rapporterade jag den i samma veva och hoppas nu på att det fixar sig. Hoppas även på ett vänligt svar på mailen, men det är väl att hoppas på för mycket, lär väl få en stämning ;)

[tags]it-säkerhet[/tags]

  • http://www.gate303.net/ Kristoffer Forsgren

    Jag har själv upptäckt XSS-buggar, bland annat på sr.se. Även i mitt fall testade jag med lite enkla javascript-taggar och även HTML-kodsnuttar. Ett mail senare så hade de fixat hålet mycket snabbt. Det tackade även glatt och vänligt, mycket trevligt bemötande =)

    Såg att du nämnde Lunarstorm, och som du säkert har hört så har även Lunarstorm blivit utsatt för en XSS-attack. Som tur var så var den ganska harmlös mot hur illasinnad den kunde varit. Släppt vid rätt tidpunkt och med rätt ”payload” så hade den kunnat användas bland annat till omfattande ekonomiska bedrägerier.

    Alltid tråkigt när man ser stora sidor ha dörrarna vidöppna på det där viset.

  • http://www.gate303.net Kristoffer Forsgren

    Jag har själv upptäckt XSS-buggar, bland annat på sr.se. Även i mitt fall testade jag med lite enkla javascript-taggar och även HTML-kodsnuttar. Ett mail senare så hade de fixat hålet mycket snabbt. Det tackade även glatt och vänligt, mycket trevligt bemötande =)

    Såg att du nämnde Lunarstorm, och som du säkert har hört så har även Lunarstorm blivit utsatt för en XSS-attack. Som tur var så var den ganska harmlös mot hur illasinnad den kunde varit. Släppt vid rätt tidpunkt och med rätt ”payload” så hade den kunnat användas bland annat till omfattande ekonomiska bedrägerier.

    Alltid tråkigt när man ser stora sidor ha dörrarna vidöppna på det där viset.