לא נעים בכלל אבל חברת האבטחה McAfee שמפעילה שירות בשם ScanAlert שמאפשר לסרוק אתרי אינטרנט ולאשר שהם נקיים ובטוחים מפני תקיפות XSS, פספסה בכמה מהבדיקות או יותר נכון 62 בדיקות (או אתרים)…

אז מה זה בכלל XSS – ראשי תיבות של Cross Site Scripting עוד פרצה מעצבנת למדיי בגלל פשטותה והקלות שבה ניתן לנצלה לרעה.
אתרי אינטרנט שמאפשרים קבלת קלט מהמתשמש ב- POST או GET ועושים שימוש בלתי מבוקר בקלט זה על ידי הצגתו חזרה ללקוח – אתם שואלים מה יכול להזיק בלהציג חזרה משהו שהלקוח כתב – לא מזיק הרבה אלא אם כן Hacker עושה שימוש לרעה ב”תכונה” הזו – קחו למשל לינק שהאקר שולח לכם במייל לאתר מהימן שאתם מכירים ואליו שותל קוד זדוני (שרשור ל- URL) שחוזר אליכם כחלק מהדף המיהמן וגורם לצרות מסוגים שונים אצלכם במחשב – נשמע שטותי?! נכון אבל פרצה נפוצה וקשה.

 
* דוגמא לקוד זדוני שרץ תחת אתר מהימן אלמוני בשם Google…

אז כמו שהקדמתי וסיפרתי, שני מדענים שחוקרים את הנושא גילו ש-62 אתרים שסומנו על ידי תוכנית האבטחה של McAffe כבטוחים מ- XSS נפלו במלכות XSS שהופעלה על ידם במהלך הבדיקה. כמובן שכתגובה נסמר שאין שום ראיות שהאתר נחתם כבטוח במהלך גילוי הפרצה – אבל אל לנו להקל ראש – פרצות XSS צריכות להמנע עוד במהלך הקידוד של האתר ולא על ידי סקירה בדיעבד.

קובי מגנזי, Kobi Magnezi.

This entry was posted on February 7, 2008 at 07:00. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Posted in Security by admin No Comments Yet