Bezpečnostná chyba v diskusiách SME.sk
Upozornenie pre script kiddies: chyba už bola na SME.sk odstránená, preto sa budete zbytočne pokúšať o vkladanie kódu.
Na serveri SME.sk bola objavená bezpečnostná chyba. Špecificky išlo o chybu na doméne diskusie.sme.sk, ktorá sa prejavovala pri odoslaní komentára v diskusii.
Útočník (hacker) mohol vložiť akýkoľvek zdrojový kód HTML vrátane elementu <script> do poľa Nadpis príspevku. Po odoslaní príspevku došlo k vykonaniu vloženého HTML, resp. Javascript kódu. Útočník tak mohol cez XSS (cross-site scripting) útok získať prístup k DOM (document object model), čiže čítať a zapisovať z/do akéhokoľvek elementu na stránke.
Medzi zraniteľné a prístupné hodnoty patria napr. meno prispievateľa, email prispievateľa, nadpis a text príspevku, IP adresa prispievateľa, session prispievateľa, prípadne akékoľvek ďalšie coookies nastavené pre danú doménu. Kompromitovaná tak mohla byť anonymita prihlásených užívateľov, ktorí odosielali príspevky v diskusiách.
Chyba bola pomerne rýchlo po zistení odstránená, aj keď pravdepodobne existovala aspoň vyše pol roka.
Najprimitívnejší spôsob vloženia Javascriptu do diskusie.sme.sk (nie tu!) predstavuje kód:
<script>alert('Funguje');</script>
:: 31.01.2007 :: rubrika Web štandardy :: pridal Daniel :: [*] ::
Diskusia:
<script>alert('Funguje');</script>
Napísal dňa 31.01.2007 o 11:19:51
nefunguje...
Napísal dusoft dňa 31.01.2007 o 11:26:42
<script>alert('nefunguje');</script>
Napísal bolek [web] dňa 31.01.2007 o 12:08:36
;-)
anonym pokusa ;-)
Napísal dusoft dňa 31.01.2007 o 15:39:14
nieco podobne bolo aj na hokej.sk .. prisli na to nastastie codery z inej division.. bolo to funny :D
Napísal queeckee [web] dňa 01.02.2007 o 00:57:37
<script>alert('nefunguje');</script>
Napísal dňa 01.02.2007 o 12:36:03
teraz mi tu budu vybralkovia.sme.sk skusat kod, ktory zjavne nefunguje ...
Napísal dusoft dňa 01.02.2007 o 12:42:48
checkni si XHTML 1.0 Strict Compliance tejto stranky..
Napísal emzo dňa 01.02.2007 o 13:07:55
Cast z toho su javascripty, ktore trackuju stranku a zasahovat do nich moze byt problem kvoli pravidlam. Zvysok su chybajuce ID, ktore su detailom a doplnim ich. A co bola pointa?
Napísal dusoft dňa 01.02.2007 o 14:44:11
Hej, vsimol som si to asi pred dvoma dnami na viacerych diskusiach na sme.sk - bola to reakcia na hacknutie inej stranky, takisto cez XSS. Akurat sa mi teraz nechce hladat, ktorej - ak bude mat autor blogu zaujem, zisti si to aj sam ;)
Napísal Mike E dňa 01.02.2007 o 15:04:09
Myslis asi Zive.cz. Pochybujem ale, ze reakcia. Podla mna niekto sleduje zahranicne stranky venovane XSS a skusil podobny postup.
Napísal dusoft dňa 01.02.2007 o 15:32:59
"<script>alert('Funguje');</script>
Napísal dňa 02.02.2007 o 14:47:43
hej, decka, skuste este UTF8 a pripadne hex kodovanie.
Napísal dusoft dňa 02.02.2007 o 15:41:29
Jezis maria deti. ved uz prestante. Ja poznam najmenej 10 webov co trpia XSS. A kto ma trochu rozumu najde si ich aj sam. A kto nie bude v kuse vkladat taketo lameriny tunak.
ts ts ts
Napísal ka1n [web] dňa 03.02.2007 o 14:45:33
Hej, decka, ktore tu pridavaju nefungujuce skripty, prezradim vam, ze e-maily na pokeci su tiez zranitelne cez XSS. Nikoho na nic samozrejme nenavadzam.
Napísal filer [web] dňa 04.02.2007 o 02:19:23
Napísal <script>alert('Funguje');</script> dňa 10.06.2009 o 21:29:41
RSS zdroj