HARD CORE SECURITY LAB: Atak typu XSS na przykładzie witryny McAfee Communities

11 kwietnia 2010

Atak typu XSS na przykładzie witryny McAfee Communities

niedziela, kwietnia 11, 2010 | Autor: \m/ojtek

Ataki typu XSS (Cross-site scripting) polegają na osadzeniu w treści atakowanej strony kodu, który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Atak XSS może posłużyć intruzowi do skierowania użytkownika na dowolną (np. złośliwą) stronę internetową, może również jednak spowodować zmianę zawartości odwiedzanej przez użytkownika witryny. Na tego typu ataki podatna jest witryna McAfee Communities, przyjrzyjmy się więc bliżej kilku przykładom.

Na atak typu XSS podatna jest (z pewnością dość popularna) witryna http://community.mcafee.com/. Przyjrzyjmy się pierwszemu przykładowi. Możliwe jest takie wstrzyknięcie złośliwego kodu, które skieruje przeglądarkę końcowego użytkownika na dowolną inną witrynę:

McAfee Communities przekierowanie na witrynę Google

Potencjalne zagrożenie? Kierowanie użytkowników na witryny stworzone z myślą o phishingu lub masowym infekowaniu internautów.

Okazuje się jednak, że atak typu XSS może również zostać wykorzystany do zmiany zawartości witryny. Ponownie posłużę się przykładem McAfee Communities:

McAfee Communities deface

Podsumowując, ataki typu XSS stanowią realne zagrożenie i pozwalają potencjalnym intruzom na przeprowadzenie całej gamy różnorakich ataków. Ze względu na możliwość wstrzyknięcia własnego kodu wprost do przeglądarki użytkownika, zakres ataku ograniczony jest właściwie wyłącznie wyobraźnią oraz umiejętnościami napastnika. Tym bardziej dziwne jest to, że zagrożenia związane z XSS są bardzo często ignorowane. Wspomniana witryna, zarządzana przecież przez jedną z wiodących firm z branży bezpieczeństwa IT, jest dobitnym przykładem tego typu lekceważenia zagrożeń związanych z XSS.

Etykiety: Obrona - Atak