Kjente nettsteder er tunneler for ondsinnet kode

To år etter en høytidelig varsel fra FBI har nettsteder til blant andre eBay, Oracle og Microsoft ennå ikke rettet opp sårbarheter som tillater ondsinnet "cross-site script".

3. februar 2000 sendte Computer Emergency Response Team (CERT) ut en advarsel kalt "Malicious HTML Tags Embedded in Client Web Requests". Den handlet om hvordan dynamiske nettsider kan forurenses av uvalidert data fra brukere, og hvordan den uvaliderte dataen kan brukes til å fange opp konfidensielle opplysninger fra andre brukere, for eksempel brukernavn, passord og kontonummer.

Advarselen pekte på at også SSL-krypterte forbindelser kan fanges opp, og at angripere kan skaffe seg varig tilgang til mange brukeres data og PC-er.

Den uavhengige sikkerhetseksperten David De Vitry har lagt ut en liste på sin hjemmeside over kjente nettsteder som stadig er sårbare overfor denne typen angrep, selv om de ansvarlige ble gjort oppmerksomme på sårbarheten for mange måneder siden.

Listen er tilgjengelig fra denne lenken, som også inneholder lenker til forklaringer og bakgrunnsmateriale fra CERT.

På listen finnes en rekke høyt profilerte IT-selskaper og finansinstitusjoner, blant dem NBC, Microsoft, Morgan Stanley, Chase, Netscape, eBay og Oracle. Noen som har vært på lista, blant dem CitiBank og New York Times, har tettet igjen hullene etter at de havnet i De Vitrys gapestokk. Listen inneholder demonstrasjoner av hvordan angriperen kunne fått tak i dine fortrolige opplysninger, ved at den gjengir cookie-en som ble generert sist du var pålogget.

De Vitry har også lagt ut gratis en "Cross-Site Script Vulnerability Detector" kalt "screamingCSS" som systemadministratorer - og hackere - kan kjøre for å sjekke om et gitt nettsted er sårbart eller ikke for skripttunneller. (Vi har testet den på digi.no, og vi blir vurdert å ha en tilsynelatende adekvat validering av inndata fra våre brukere, for eksempel på våre debattsider, der f.eks. forsøk på å legge igjen skript avvises.)

Nyhetstjenesten Newsbytes har kontaktet CERT, der en talsperson bekrefter De Vitrys opplysninger. Vedkommende forklarer at dette er en sårbarhet som ikke rammer nettstedene, men brukerne. Følgelig prioriteres den lavt i forhold til andre hull som stadig dukker opp.

Til toppen