» »

XSS - nova (stara) oblika spletnih razobličenj

XSS - nova (stara) oblika spletnih razobličenj

Slo-Tech - Kreativni ruski računalniško-varnostni raziskovalec Valery Marchuk na svoji spletni strani opozarja javnost na nevarnost spletnih razobličenj v obliki XSS napadov. Spretno formulirana XSS razobličenja so namreč lahko zelo prikrita. S tem prevarajo večino uporabnikov, ki prirejene informacije tako sprejmejo kakor legitimne. Lep primer sta XSS napada na CBS in BBC:
- lažna CBS News stran,
- lažna BBC stran.

Ob času objavljanja novice ranljivosti še nista odpravljeni, sicer pa se zaslonski sliki nahajata tukaj:
- slika lažne CBS News strani,
- slika lažne BBC strani.

Valerij dokazuje, da XSS ranljivosti niso nedolžna varnostna razpoka, ter da pred njimi niso imuni celo takšni giganti kakor Adobe, IBM, Cisco, Oracle, Amazon in celo NSA.

6 komentarjev

Vajenc ::

Informacijo, ki je danes najpomebnejša stvar za uspeh, je najlažje in najhitreje dobiti na spletu. Zelo nerodno bi bilo, če bi kdo priredil vse ključne vire informacij na spletu z novico o npr. "countdownu" S.korejske rakete z sumljivo konico usmerjeno na Washington.

Včasih je res prednostno, da dobiš inf. čimpreje (internet), včasih pa se le splača počakati na "preverjeno" spisano in stiskano v dnevnih časopisih naslednji dan.

k0lar ::

tudi tam se zmotijo - oziroma temu rečejo tiskarski škrat

madmitch ::

Ali pa prepišejo z neta pa si na istem.
Nobody is perfect, my name is Nob Ody

fiore ::

ce imas noscript, xss nacelno ne deluje.

ali se morda motim?

lambda ::

Tako je, s tem pa še precejšen delež spletnih strani ...

fiore ::

Tako je, s tem pa še precejšen delež spletnih strani ...

z noscriptom, lahko dodeljujes "pravice" glede na domeno. ker prihaja xss iz druge domene kot jo obiskujes (kot tudi vecnia drugih smeti), vklopis pac js samo za spletni naslov ki si ga ogledujes.
no script != no javascript


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

MacBook Air prvi padel (strani: 1 2 3 )

Oddelek: Novice / Varnost
12416409 (10257) poweroff
»

(Ne)nevarni XSS napadi

Oddelek: Novice / Varnost
245666 (4184) lambda
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
204750 (4086) sverde21
»

Radeon X800 AGP (Sapphire) - Artefakti

Oddelek: Strojna oprema
131457 (1227) GrimReaper

Več podobnih tem