Blant de vanligste svakhetene ved mange webpubliseringsløsninger, enten de koster penger, tilbys fritt tilgjengelig eller er egenutviklede, er mangelfull kontroll av inndata. Dette er data som brukerne enten fyller ut i et skjema, eller som er en del av URL-en til en webside. Et godt sikret system setter klare begrensninger på hva slags data som får tas imot for videre behandling. I noen tilfeller kan mangelfull validering av inndataene til og med åpne for at angripere sletter data i publiseringssystemet, ved at det sendes SQL-setninger til systemet som en del av URL-en.
En annen mulighet gjøres mulig i systemer hvor et filnavn kan være en gyldig parameter i en URL. Et eksempel på en slik URL er denne:
http://www.domene.no/index.php?page=webside.html
Filen "webside.html" ligger i typisk i en gitt mappe på serveren. Men de fleste filsystemer støtter det som kalles katalogtraversering (directory traversal), det vil si at hvis man skriver "../filnavn", så får man tilgang til en fil med navnet "filnavn" i mappen nivået høyere opp i filsystemet. Legger man til flere nivåer, "../../../../../filnavn", vil man til slutt kunne nå toppnivået i filsystemet, hvor man så kan arbeide seg nedover igjen, i et en annen forgrening av filsystemet. Antallet "../"-er som må brukes, avhenger av hvor i filhierarkiet man starter.
For eksempel vil "http://www.domene.no/index.php?page=../../../../../../etc/passwd" kunne gi tilgang til en fil som ikke bør være offentlig tilgjengelig. Riktignok inneholder filen, som finnes i de fleste Unix-lignende systemer, i dag sjelden passord, men den lister aller gyldige brukere som får logge seg på systemet, noe som er en god start for en angriper.
Tilsvarende traversering er også mulig på Windows-systemer, hvor det i verste fall kan kjøres kommandoer gjennom "cmd.exe".
Espen Øivindsson, innehaver av selskapet Data Security, forteller til digi.no at han har undersøkt en rekke nettsteder for å teste om disse var sikret mot katalogtraversering. Undersøkelsen avdekket at nettstedene til blant annet en rekke mindre aviser gjør det mulig for angripere å få tilgang til systemfiler og annet ved hjelp av katalogtraversering. Mange av disse avisene benytter en publiseringsløsning fra danske SaxoTech.
Men det viser seg at også en rekke nettsteder tilhørende norske bedrifter, organisasjoner og kommuner er sårbare for den samme typen angrep. Disse er primært basert på andre løsninger enn de fra SaxoTech.
Øivindsson mener at det som er mest oppsiktvekkende, og som har fått ham til å kontakte media, er at svært få har tatt hans advarsler om disse sårbarhetene alvorlig. Et flertall av de tilfellene Øivindsson har oppdaget, er fortsatt like sårbare i dag. Det viser stikkprøver digi.no har gjort fra en liste Øivindsson har sendt oss. Alle disse nettstedene er blitt varslet i god tid før vi mottok listen for en drøy uke siden.
Data Security har her publisert et bilde av noe av den informasjonen som var tilgjengelig på nettstedet til Heimevernets Spesialavdeling, HV-016. Bildet er delvis sladdet for ikke å avsløre for mye. Dette nettstedet er blant eksemplene hvor feilen er blitt rettet.
Verre er det med nettstedet til en e-posttjeneste som tilbys av en Telenor-avdeling. Her er ikke bare "/etc/passwd"-filen fullt tilgjengelig, men den inneholder også passordet til flere tusen brukere. Passordene er riktignok ikke oppført i klartekst, men mange av passordene er så enkle at en test Data Security utførte med et av de mest kjente programmene for passordknekking, skaffet fram 658 av de 2968 passordene på under 30 sekunder. Passord basert på ord som finnes i en ordbok, er selvfølgelig de enkleste å avsløre.
Telenor er blitt gjort oppmerksomme på sårbarheten via e-post til ”abuse”-adressen, men selskapet hadde tirsdag kveld ikke fjernet sårbarheten, selv om det da var gått fem dager siden varselet ble sendt.
Øivindsson mener at alle brukerne av tjenesten vil måtte bytte passord, siden sikkerhetshullet for lengst kan ha blitt oppdaget av ondsinnede, som dermed har tilgang til mange av kontoene.
