Hlavní navigace

Ani web španělského předsednictví není odolný proti XSS

Jiří Macich ml. 5. 1. 2010

Stránky eu2010.es, které u příležitosti svého evropského předsednictví provozuje Španělsko, se včera staly terčem vtipálka. Někteří příchozí na nich tak ve svých webových prohlížečích uviděli místo videa s vystoupením španělského premiéra Jose Luise Rodrigueze Zapatera fotografii britského komika a herce Rowana Atkinsona alias Mr. Beana. Za žertíkem stojí využití XSS zranitelnosti, takže někteří návštěvníci příchozí přes speciálně upravené odkazy mohli skutečně na webu vidět fotku Mr. Beana.…

Stránky eu2010.es, které u příležitosti svého evropského předsednictví provozuje Španělsko, se včera staly terčem vtipálka. Někteří příchozí na nich tak ve svých webových prohlížečích uviděli místo videa s vystoupením španělského premiéra Jose Luise Rodrigueze Zapatera fotografii britského komika a herce Rowana Atkinsona alias Mr. Beana. Za žertíkem stojí využití XSS zranitelnosti, takže někteří návštěvníci příchozí přes speciálně upravené odkazy mohli skutečně na webu vidět fotku Mr. Beana. Ministerský předseda Zapatero totiž některým španělským občanům svým vzhledem právě tuto komickou postavu ztvárněnou Rowanem Atkinsonem připomíná.

Ve výsledku byly stránky španělského předsednictví včera odpoledne a podvečer na nějakou dobu nepřístupné. Jestli za to mohly davy zvědavců nebo realizované úpravy, to už správci stránek neupřesnili. Aplikování XSS při různých vtípcích na účet politiků není až tak výjimečným jevem. Debatu o úrovni zabezpečení jejich webů u nás loni rozvířila „kauza“ kolem webu České strany sociálně demokratické (ČSSD). Na sousedním Slovensku se stal jen o pár dnů později terčem žertíku blog premiéra Roberta Fica. (AFP)

Našli jste v článku chybu?

5. 1. 2010 8:14

XSS oproti SQLi není až tak o bezpečnosti (nebezpečí snad hrozí ve formě phishingového útoku na podstrčených stránkách, ale to je odhalitelné pro jen trochu znalého uživatele).
Jinak to je z 99,999% vždy jen (post)pubertální ftípek, jehož medializace autora chvilkově (zato však někdy globíálně) proslaví.
Vizuálně podobného výsledku lze dosáhnout umístěním cílové web stránky do rámce a patřičně upraveného okolí.
Takže klidně tak lze obklopit originální stránku jedné nejmenované strany modrými str…


5. 1. 2010 10:37

Martin Straka (neregistrovaný)
Pletete se. Samozřejmě, že je XSS bezpečnostní zranitelnost s velkým dopadem. To, že se v médiích obecně prezentuje většinou jen ten jeden způsob je pravda.

Každopádně například XSS zranitelnost znamená nefunkčnost většiny používaných způsobů obrany proti XSRF.

a nebo třeba XSS wormy, nějaké zdroje:
http://blogs.zdnet.com/security/?p=1487
http://www.betanews.com/article/CrossSite-Scripting-Worm-Hits-MySpace/1129232391
http://www.securityfocus.com/brief/945






Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů