» »

XSS - nova (stara) oblika spletnih razobličenj

XSS - nova (stara) oblika spletnih razobličenj

Slo-Tech - Kreativni ruski računalniško-varnostni raziskovalec Valery Marchuk na svoji spletni strani opozarja javnost na nevarnost spletnih razobličenj v obliki XSS napadov. Spretno formulirana XSS razobličenja so namreč lahko zelo prikrita. S tem prevarajo večino uporabnikov, ki prirejene informacije tako sprejmejo kakor legitimne. Lep primer sta XSS napada na CBS in BBC:
- lažna CBS News stran,
- lažna BBC stran.

Ob času objavljanja novice ranljivosti še nista odpravljeni, sicer pa se zaslonski sliki nahajata tukaj:
- slika lažne CBS News strani,
- slika lažne BBC strani.

Valerij dokazuje, da XSS ranljivosti niso nedolžna varnostna razpoka, ter da pred njimi niso imuni celo takšni giganti kakor Adobe, IBM, Cisco, Oracle, Amazon in celo NSA.

6 komentarjev

Vajenc ::

Informacijo, ki je danes najpomebnejša stvar za uspeh, je najlažje in najhitreje dobiti na spletu. Zelo nerodno bi bilo, če bi kdo priredil vse ključne vire informacij na spletu z novico o npr. "countdownu" S.korejske rakete z sumljivo konico usmerjeno na Washington.

Včasih je res prednostno, da dobiš inf. čimpreje (internet), včasih pa se le splača počakati na "preverjeno" spisano in stiskano v dnevnih časopisih naslednji dan.

k0lar ::

tudi tam se zmotijo - oziroma temu rečejo tiskarski škrat

madmitch ::

Ali pa prepišejo z neta pa si na istem.
Nobody is perfect, my name is Nob Ody

fiore ::

ce imas noscript, xss nacelno ne deluje.

ali se morda motim?

lambda ::

Tako je, s tem pa še precejšen delež spletnih strani ...

fiore ::

Tako je, s tem pa še precejšen delež spletnih strani ...

z noscriptom, lahko dodeljujes "pravice" glede na domeno. ker prihaja xss iz druge domene kot jo obiskujes (kot tudi vecnia drugih smeti), vklopis pac js samo za spletni naslov ki si ga ogledujes.
no script != no javascript


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sestavljam 0dB server/download box - rabim pomoc

Oddelek: Kaj kupiti
382437 (1222) Macketina
»

Preizkuševalec napetosti preko izolacije

Oddelek: Elektrotehnika in elektronika
51315 (1212) trek@s
»

Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScripta

Oddelek: Novice / Varnost
224375 (3084) MrStein
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
203772 (3108) sverde21
»

GIF - Pomoc

Oddelek: Izdelava spletišč
6718 (662) ManyMan

Več podobnih tem