3.10.2012 | Daniel Dočekal | Webdesign, Internet |
Je to tak, Aštar Šeran je teď na radnici ve Svitavách a ovládají to tam Andělé světla. Zázrak lásky? Samozřejmě až tak moc ne, prostě takové klasické XSS, které najdete (kde jinde) ve vyhledávání. A můžete se vyřádit. Díky za upoznrnění směřují k @kobitch
27.8.2012 | Daniel Dočekal | Webdesign, Internet |
"Nechť si Aštar trochu odpočine," napsal mi čtenář tohoto blogu. A přiložil adresu http://tinyurl.com/bu9ppy4 ukazující jak snadno lze na www.cssz.cz využít neošetřeného vstupu z vyhledávání k XSS. Opět někdo nedělá to nejzákladnější co má a vyrobil web s bezpečnostní chybou v podobě klasického Cross Site Scripting.
DODATEK 14:00 - ČSSZ v tichosti bezpečnostní chybu opravili. Bohužel na dotaz tiskovému oddělení stále nikdo nereagoval. Ale treba časem odpoví, zejména na to, kdo je vlastně za tuhle začátečnickou chybu zodpovědný.
Aštar Šeran zaútočil na Národní divadlo! Kdepak jenom SYMBIO nechalo díru? 23.8.2012 | Daniel Dočekal | Webdesign, Internet | |
Inu, www.narodni-divadlo.cz má nový design a jeho autore je @SYMBIO. Právě tam jsem se nechal zlákat oznámením "narodni-divadlo.cz is our new website for National Theatre. Check it on your devices!" a šel se podívat. Je to docela povedené, dokonce i responzivní. Ale zásadní problém tu je - prostě si můžete opěr pohrát s XSS. A kde jinde, než v políčku pro vyhledávání.
10.7.2012 | Daniel Dočekal | Bezpečnost |
Včerejší estráda okolo pochybné soutěže Mironetu na Facebooku (porušování Pravidel, zjevná nemožnost určit výherce, následné cenzurování komentářů soutěžících, "ban" soutěžících, lži, atd) měla ještě jeden zajímavý vedlejší efekt. Někdo v komentářích k zpackané soutěži opakovaně upozorňoval na klasickou bezpečnostní chybu na webu www.mironet.cz - v tuto chvíli je ještě stále aktivní. Zkusit můžete Aštara Šerana na Mironet.cz nebo si prostě jen tak zadejte nějaké HTML či skripting do políčka pro vyhledávání.
Pohled do zdrojového kódu vám ale připraví podstatnější překvapení. Součástí zdrojového kódu je zakomentovaný SQL kód, kde se zjevně také předává kompletní vyhledávací řetězec, aniž by byl jakkoliv ošetřen. A pokud byste se (čirou náhodou) vydali zkoušet SQL kód do políčka vyhledávání, tak je vcelku jasné, jak vážná tahle bezpečnostní chyba bude. Odpovědí totiž je "Vnitřní chyba serveru". Takže to vypadá na přítomnost jedné z nejvážnějších bezpečnostních chyb, SQL Injection - byť je samozřejmě možné, že vše mají ošetřené na úlovni uložených procedur. Ale s ohledem na úroveň amatérismu bych na to nesázel.
Dodatek 10:24 - V komentářích pod tímto článkem se objevil jakýsi "Martin Štípek" co tvrdí, že je "programátor v Mironetu" a že "ihned opravil" XSS. To bylo asi tak před půl hodinou až hodinou. Upozornil jsem ho, že neopravil nic, že XSS nechal v dalších dvou místech. Výsledkem je, že svůj původní příspěvek (a moji odpověď) smazal. A napsal znovu totéž. Opět je to ale špatně, protože stále jedno XSS zůstává.
8.7.2012 | Daniel Dočekal | Webdesign, Internet | |
Že se XSS (pro vysvětlení viz CROSS SITE SCRIPTING (XSS) - průvodce (nejenom) hackera) objevuje na nových webech, to mě většinou ani nepřekvapuje. Ale že je k nalezení na www.mall.cz mě docela překvapuje. Tam bych přeci jenom nečekal, že tuhle začátečnickou chybu nechají bez povšimnutí. Za upozornění díky @CZmiho - jeho "Senzace dne: Mall.cz podporuje vesmirné lidi! http://goo.gl/bBGA9 #mall.cz #vesmirnilide" mě pobavila opravdu hodně (tweet zde).
A aby toho nebylo málo, pojďme počítat, kam všude se vyhledávaný výraz přenese ve 100% původní podobě. Je to docela k neuvěření. A ještě více k neuvěření to je poté co zjistíte, že jednou se ve výsledné stránce vložený řetězec objeví v ošetřené podobě.
Dodatek 9. července 15:10 - Mall.cz zjevně začal problém napravovat, takže už ho nenajdete ve většině případů. Kde ale stále zůstal je stránkování.
Dodatek 10. července 9:00 - I přes dopisování si s Mall.cz stále XSS stále zůstává.
20.3.2012 | Daniel Dočekal | Webdesign, Internet | |
Tak portal.gov.cz má nový vzhled, kdybyste to náhodou nevěděli a byli na tom stejně jako já, že jste na tomhle podivném webu už několik let nebyli. Zato si teď můžete užít bezpečnostní chyby (XSS, Cross Site Scripting) ve vyhledávání. Případně žasnout nad tím, že to nemá vlastní vyhledávání (hledá to přes Google)
Dodatek 14:30 - v odpoledních hodinách se Portál Veřejné Správy poněkud odmlčel a nyní přesměrovává na Datové schránky.
16.4.2011 | Daniel Dočekal | Webdesign, Internet | |
www.spir.cz a www.netmonitor.cz mají nový vzhled webu. Absurdní vlastnost je, že se nedá klikat na titulky článků, ale musíte lovit "Prohlédnout celou zprávu" kdesi pod perexem. Od Macron Software (podepsané v patičce) bych čekal, že takto základní úlet nevytvoří. A přítomnost XSS přes vyhledávání (příklad) svědčí o tom, že to jako obvykle někdo ušil narychlo a bez přemýšlení.
Předaný HTML kód se bez změny přenese do "Poslat mailem" :
<a href="forward?path=search/node/"><script>window.open('http://www.pooh.cz');</script>"><img src="/sites/all/themes/spir/images/forward.png" alt="Poslat mailem" /></a>
28.3.2011 | Daniel Dočekal | Webdesign, Internet | |
Sčítání 2011 stojí miliardy korun, přesto nejsou provozovatelé www.scitani.cz schopni nabídnout webovou aplikací, která by neměla ty nejzákladnější bezpečnostní chyby. Formulář pro vyzvedávání sčítacího PDF umožňuje vkládat libovolný kód, který je poté poskytnut zpět prohlížeči - učebnicový příklad neošetřených vstupů a klasického XSS (Cross Site Scripting).
Jakkoliv na straně serveru dochází k mírným změnám (například všechny "O" jsou vyměněna za "0"), kreativitě se meze nekladou.
Aktualizace 9:51 - autoři webové aplikace doplnili základní obranu proti vkládaní HTML kódu přes prvek formuláře. Na vyjádření tiskového mluvčího prozatím stále čekám. Mimo jiné mě zajímalo, kdo je za tuto ostudu zodpovědný (rozumějte, kdo nezvládá ani základy programování webových aplikací)
Aktualizace 13:40 - Dnes je den zábavných telefonů. Zejména s novináři, kteří zavěšují zklamáni, že nikdo nehacknul Sčítání a že data Sčítání jsou touhle zábavnou chybičkou prakticky nedotčená. To asi není moc překvapující, novinařina potřebuje krev, pot a slzy. Pozitivnějších je pár telefonátů s těmi, kdo mají tuhle věc na starosti - komunikují a chybu napravili. Což je potřeba ocenit, v řadě předchozích případů se zatloukalo a zatloukalo a zatloukalo.
Aktualizace 14:00 - Dorazilo vyjádření od tiskového mluvčího, ke kterému pouze dodám, že je korektní. A vážím si toho.
Vážený pane Dočekale,
děkuji Vám za upozornění na riziko XSS. Tento nedostatek nemohl vést žádným způbem, k ohrožení osobních dat, ale umožnil internetovému expertovi změnit zobrazení stránky v případě, že na ni někdo přišel z expertem rozšířeného odkazu.
Bezpečností systém okamžite pokus o útok na web odhalil a tento neodstatek byl po rychlé analýze odstraněn.
Pokud se ptáte na odpovědnost, tak ta je na jednom z našich dodavatelů, který nedostatek okamžitě napravil. Jde o chybu, která nemohla ohrozit data, ale přiznávám, že byla zbytečná.
Velmi Vám děkuji, že jste nás na ni upozornil, vše řešíme co nejrychleji.
S přátelským pozdravem
Ondřej Kubala
Dodatek 16:50 - Volal místopředseda ČSÚ Drápal a poděkoval za oznámení XSS chybky. Po dlouhé době firma s adekvátní reakci na objevený problém. A k tomu už mohu dodat opravdu jenom to, že to se mi opravdu líbí
23.3.2011 | Daniel Dočekal | Webdesign, Internet |
www.goodman.com hlásí redesign (viz tisková zpráva Skupina Goodman spustila nové internetové stránky se sekcemi pro jednotlivé země a vylepšila funkce webu) a to včetně české verze na www.goodman.com/cz. Českou verzi trochu kazí věci jako nadpis "Ceska Republika", celkový dojem kazí drobné problémy v Google Chrome a poněkud zvláštní představa, že nejširší okno prohlížeče je 1600 bodů (viz pozadí omezené na 1600 bodů). Do poněkud problematičtější kategorie patří přítomná možnost vstouvat HTML před vyhledávání - to je dost podstatné a hloupé omezení tvůrcu webu.
HTML Injection na YouTube.com - velký malér a ještě větší ostuda5.7.2010 | Daniel Dočekal | Webdesign, Internet | | 10450
Jedno je důležité, ignorujte média tvrdící něco o tom, že YouTube.com bylo hacknuto. Co je ale důležitější, pokud YouTube.com aktuálně používáte, můžete být hacknuti vy. HTML Injection totiž umožňuje do komentářů vkládat skripty a to je právě to, co se na YouTube včera dělo.
16.1.2010 | Daniel Dočekal | Bezpečnost | |
SQL injection (vsouvání SQL kódu, Vyhledávače, SQL injection a ideální nástroje hackerů), XSS (Cross Site Scripting, CROSS SITE SCRIPTING - průvodce (nejenom) hackera) a autentikační/autorizační mechanismy jsou zodpovědné za více než polovinu bezpečnostních problémů.
Nejvíce chyb mezi prohlížeči měl Firefox (44%) následovaný Safari (35%) a IE (15%). Tohle a ještě řadu dalších užitečných věcí najdete v pravidelné zprávě od společnosti Cenzic (PDF) shrnující první polovinu roku 2009.
23.5.2009 | Daniel Dočekal | Bezpečnost | |
Alex Doktor na Facebooku reaguje na můj "hacking" ukázkou toho, jak je možné využít XSS na www.bontonland.cz :
Hezké. A opět ostudné. Ale užijte si to. I zde jde o obchod a potenciálně problematickou bezpečnostní chybu.
23.5.2009 | Daniel Dočekal | Webdesign, Internet | |
XSS (Cross Site Scripting) se stal čerstvě proslulý skrz neschopnost tvůrců webu www.cssd.cz odvést správně práci. XSS je ale hodně staré, takže ho najdete na řadě dalších webů. Na www.alza.cz můžete klasicky využít vyhledávací políčko pro hraní si. A v případě internetového obchodu je to obzvlášť nepříjemné, protože tahle zranitelnost je snadno zneužitelná pro phishing (rhybaření).
Pokud budete mít povolené pop-up okna, zobrazí se vám nové okno s výpisem uživatelských cookies, které "získal" zcela cizí web - v tomto případě POOH.CZ. Znamenáte to ale i to, že pomocí vyhledávacího okénka je možné vsouvat libovolné skriptovací konstrukce - velmi účinný nástroj pro rhybaření a další útoky.
23.5.2009 | Daniel Dočekal | Reklama, média,marketing | | | 11660
Česká žurnalistika zase ukazuje, že není schopna ověřit zprávu a ochotně zveřejní cokoliv - zejména pokud je to dostatečně schopné vyvolávat zájem čtenářů. Ekonomické médium (iHNed.cz) se tak dostává na úroveň polo bulvárního iDnes.cz.
22.5.2009 | Daniel Dočekal | Webdesign, Internet | |
Na www.cssd.cz si můžete v praxi vyzkoušet jak se dá jejich nový a moderní web využít pro XSS (Cross Site Scripting). Vyhledávací okénko umožňuje zadávat libovolné HTML konstrukce a český podnikavý lid toho už využívá na Facebooku pro obohacování stránek o obsah, který by tam určitě nikdy nebyl.
Při trošce hraní navíc zjistíte, že web hlásí SQL chybu. Jak tuhle informaci dokážete využít, to už nechávám na vás.
28.4.2008 | Daniel Dočekal | Bezpečnost | |
100Mega Distribution se dnes pochlubila novými webovými stránkami www.hal3000.cz (na které se přerodily původní www.halnet.cz). Nechal jsem to uležet pár hodin, ale protože nikdo se neobtěžuje reagovat na upozornění, že tenhle web je děravý jako cedník, tak tuhle XSS lahůdku a hračku dávám v šanci všem ostatním. Vyhrajte si klasicky u vyhledávání (nejméně zábavné) nebo v online shopu (daleko zábavnější, protože své XSS můžete zamontovat do každého pole mimo e-mail¨).
Hal3000.cz jede na oXySHOP produktu (www.oxyshop.cz), čímž se také chlubí v patičce. Což holt asi také bude znamenat, že XSS je tam přítomno hlavně skrz tento produkt. Ano oXy Online nereaguje na informaci o chybě.
23.4.2008 | Daniel Dočekal | Webdesign, Internet | |
Dopsal jsem článek pro zítřejší Lupu, který vysvětluje detailně jak funguje XSS (Cross Site Scripting). A pochopitelně mi nedalo a zkusil jsem jak jsou na tom některé weby.
ČSOB sice opravila PaySec.cz, ale poněkud zapomněli na hlavní www.csob.cz, kde můžete využít CSS. Problematický je i web České televize. A pak řada internetových obchodů, zejména v okamžiku, kdy využívají nějaký určitý e-shop od jednoho dodavatele. Všechny tyhle úlovky mají XSS ve vyhledávací funkci. Nepatří mezi nejtriválnější, ale je snadno použitelné.
Konkrétní a velmi přesné informace najdete zítra ráno na www.lupa.cz
Ranní dodatek - jak v ohlasech upozorňuje ehmo, XSS najdete i na webu časopisu, který se věnuje počítačové bezpečnostni. Nad touto skutečnosti rozum skutečně zůstává stáv němém úžasu. A poté co zjistí, že o tom správci webu už dlouho dobu vědí, tak k tomu lze už skutečně dodat jenom ... no comment ...
A poránu přidám ještě další ukázku - Mediar.cz nabízí XSS od té doby co Mediářem je. Včetně toho, že přidávání komentářů není nijak chráněno proti spambotům, takže Mediar.cz je líhní odkazů a textů pro všechny ViAgRy a jiné svinstvo.
23.4.2008 | Daniel Dočekal | Bezpečnost | |
Řekněme si to rovnou a jasně. XSS na bankovním webu je v roce 2008 trestuhodná nedbalost. A přítomnost XSS na webu služby PaySec.cz je ostudná záležitost. Nevím jak dlouho vydrží mnou vložené HTML značky, včetně skritpů na PaySec.cz, ale prozatím si to můžete užít v praxi zde.
O XSS toho zjistíte (tradičně) vice v CROSS SITE SCRIPTING - průvodce (nejenom) hackera. A podrobnosti později.
Vyjádření ČSOB:
Zmiňovaná věc se podle všeho týká diskuzí na webu služby PaySec. V žádném případě neohrožuje finanční transakce ani bezpečnost celého systému. V tuto chvíli by již měla být opravena.
Hezky den a jeste jednou diky za upozorneni.
Marek Roll
tiskový mluvčí Poštovní spořitelny
15.4.2008 | Daniel Dočekal | Bezpečnost | |
Billy Rios objevil XSS vulnerabilitu v Google Docs, která je zajímavá jako ukázka toho, kde všude se může XSS (a různé bezpečnostní chyby) v dnešních "Web 2.0" aplikacích skrývat. Jde ale také o další příklad toho, že svěřovat případné firemní či důvěrné informace webovým aplikacím by vždy mělo předcházet důkladné zvážení možného důsledku "děravosti" takovýchto aplikací.
Objevené XSS (detaily) je obzvlášť nebezpečné i tím, že Google používá universální autentikaci v rámci všech Google.com domén. A právě přes XSS je možné unést (hijaack) session uživatele. Případný útočník se tak dostane nejenom k dokumentů v Google Docs, ale ke každé službě Google, kterou napadený uživatel používá. Chyba je svým způsobem hodně obskurní - využívá poněkud svévolného chování Internet Exploreru, který si nedělá příliš hlavu z toho, jaký Content-type vlastně dostává (Billy Rios nicméně upozorňuje, že podobně nekonzistentně se někdy chovají i další prohlížeče). Chyba využívá toho, že při exportu z Google Spreadsheets je Content-type nastaven na text/plain - pokud je ale do prvních buněk tabulky vložen HTML kód, bude Internet Explorerem zpracován jako HTML.
Při vložení “<HTML><body><script>alert(document.cookie)</script></body></HTML>” do buňky A1 to potom znamená, že se skript skutečně spustí - k útoku postačí poslat e-mailem odkaz na CSV podobu tabulky. Google chybu již opravil - v té souvislosti je ale zajímavé i to, že stejná chyba byla zneužitelná v Gmailu, kde byla opravená již dříve.
Více viz Google XSS
30.3.2008 | Daniel Dočekal | Bezpečnost |
Adobe pilně pracuje na opravě, která by umožnila zbavit se stovek tisíc nebezpečných Flash (.swf) souborů, které se vyskytují na webech po celém světě. Pochopitelně se tento problém týká i českých webů, nejde o nic specificky zahraničního. A taky nejde o nic nového - chyba v Flash souborech byla objevena v prosinci loňského roku. Adobe sice provedlo nějaké opravy v nástrojích pro vytváření Flashe, ale aby opravdu zmizely stovky tisíc nebezpečných souborů, musely by se znovu vytvořit všechny již vytvořené soubory.
O co vlastně jde? O XSS vulnerabilitu, která umožní prostřednictvím parametru Flash souboru dosáhnout klasického XSS - stačí pak (například) bankovní web obsahující Flash ... Objevitel chyby je Rich Cannings z Google, který poskytl velmi dobrou dokumentaci v podobě XSS Vulnerabilities in Common Shockwave Flash Files článku.
Radiokomunikace mají nový (nebezpečný) web15.1.2008 | Daniel Dočekal | Webdesign, Internet | |
České radiokomunikace mají nové webové stránky, www.radiokomunikace.cz nevypadá špatně z čistě osobního pohledu na design. Horší je to už s bezpečností. XSS nebo Cross Site Scripting je dostupné klasicky ve vyhledávání (zkuste si dokud to jde). Pokud chcete vědět více o XSS, zkuste CROSS SITE SCRIPTING - průvodce (nejenom) hackera.
Jak se uvádí v tiskové zprávě, nová internetová prezentace společnosti České Radiokomunikace vznikala ve spolupráci dvou agentur - design pochází z dílny společnosti Advertures s.r.o., technické zpracování měli na starosti programátoři z PragueBest, s.r.o. a odtud už vede stopa k problému v publikačním systém ePublisher. XCSS ve vyhledávání je tedy systémová chyba (viz například totéž u Fujifilm) publikačního systému ePublisher. Autoři byli upozornění.
Update po 13:00 - "Děkujeme za zprávu. Na opravě chyby již pracujeme," mi napsal Vladimir Simandl z PragueBest.
Update po 17:00 - Na webu radiokomunikací byla nasazena oprava. Před PragueBest ale stojí nelehký úkol, opravit weby všech svých zákazníků (zkoušet stále můžete například na www.xerox.cz).
Update po 19:00 - České radiokomunikace prozatím vůbec neodpověděly.
9.1.2008 | Daniel Dočekal | Bezpečnost | |
NetCraft dnes upozornil na případ italské banky, jejíž web trpí XSS (vysvětlení co to Cross Site Scripting je, a další články na téma XSS). Vzpomněl jsem si na moji praktickou zkušenost s jednou z velkých institucí, u které jsem objevil právě XSS problémy. Tiskový mluvčí tehdy vyřešil celou situací tím, že vše zesměšnil a začal tvrdit, že XSS vůbec nebezpečné není.
Případ na který upozorňuje NetCraft je ale opravdu tou nejlepší ukázkou. Útočníci pochopitelně objevili XSS zneužitelnost webu a okamžitě toho využívají. A nutno podotknout, že právě a jenom díky XSS mohou využít rhybaření (phishing) přímo na pravé doméně banky a dokonce i s pravým SSL certifikátem. A pochopitelně na zdánlivě bezpečném "https" připojení (ano, přítomnost https v URI je jedním z častých argumentů bank).
