Posts Tagged ‘xss’

Una din metodele folosite de “baietii rai” pentru a sparge conturi se bazeaza pe injectarea de cod JavaScript in paginile atacate (XSS) si culegerea unor date private (cum ar fi identificatorul de sesiune stocat in cookie).

In 2006 Microsoft a inventat httpOnly, un cuvant trimis in header care specifica faptul ca un cookie setat de server nu poate fi accesat din JavaScript sau alte scripturi care ruleaza in browser. Ideea, foarte buna de altfel, a fost implementata in IE6 SP1 si ulterior in FireFox 2.

Totusi a aparut repede o problema: (mai mult…)

La o analiza sumara, cel putin 11 din cele 41 (?) de site-uri inscrise la Gala Premiilor eCommerce 2008 au probleme de securitate care le-ar putea afecta activitatea. Asta inseamna peste 25% .. destul de mult. 

Tehnic, e vorba despre XSS, aka Cross-Site-Scripting, care inseamna injectarea de cod (de obicei javascript) intr-un site prin intermediul unor variabile nesecurizate (sau in cazul unora din site-uri, insuficient securizate). Din fericire, o astfel de vulnerabilitate e destul de usor de depistat si reparat, dar ar fi mult mai bine daca autorii site-urilor ar evita din start astfel de probleme.

Prin XSS se poate de exemplu manipula sesiunea (asta inseamna ca, in anumite conditii, cineva sari peste autentificare). Sau, daca datele sunt salvate in site si accesibile si altor vizitaori (de ex: “ultimele cautari”), li se pot fura datele de acces ale acestora din urma, ii pot infecta cu diversi virusi/etc. Nu-i nevoie decat de putina atentie pentru a evita astfel de probleme.