Hlavní navigace

Ani web španělského předsednictví není odolný proti XSS

Jiří Macich ml.

Stránky eu2010.es, které u příležitosti svého evropského předsednictví provozuje Španělsko, se včera staly terčem vtipálka. Někteří příchozí na nich tak ve svých webových prohlížečích uviděli místo videa s vystoupením španělského premiéra Jose Luise Rodrigueze Zapatera fotografii britského komika a herce Rowana Atkinsona alias Mr. Beana. Za žertíkem stojí využití XSS zranitelnosti, takže někteří návštěvníci příchozí přes speciálně upravené odkazy mohli skutečně na webu vidět fotku Mr. Beana.…

Stránky eu2010.es, které u příležitosti svého evropského předsednictví provozuje Španělsko, se včera staly terčem vtipálka. Někteří příchozí na nich tak ve svých webových prohlížečích uviděli místo videa s vystoupením španělského premiéra Jose Luise Rodrigueze Zapatera fotografii britského komika a herce Rowana Atkinsona alias Mr. Beana. Za žertíkem stojí využití XSS zranitelnosti, takže někteří návštěvníci příchozí přes speciálně upravené odkazy mohli skutečně na webu vidět fotku Mr. Beana. Ministerský předseda Zapatero totiž některým španělským občanům svým vzhledem právě tuto komickou postavu ztvárněnou Rowanem Atkinsonem připomíná.

Ve výsledku byly stránky španělského předsednictví včera odpoledne a podvečer na nějakou dobu nepřístupné. Jestli za to mohly davy zvědavců nebo realizované úpravy, to už správci stránek neupřesnili. Aplikování XSS při různých vtípcích na účet politiků není až tak výjimečným jevem. Debatu o úrovni zabezpečení jejich webů u nás loni rozvířila „kauza“ kolem webu České strany sociálně demokratické (ČSSD). Na sousedním Slovensku se stal jen o pár dnů později terčem žertíku blog premiéra Roberta Fica. (AFP)

Našli jste v článku chybu?
5. 1. 2010 8:14
XSS oproti SQLi není až tak o bezpečnosti (nebezpečí snad hrozí ve formě phishingového útoku na podstrčených stránkách, ale to je odhalitelné pro jen trochu znalého uživatele). Jinak to je z 99,999% vždy jen (post)pubertální ftípek, jehož medializace autora chvilkově (zato však někdy globíálně) proslaví. Vizuálně podobného výsledku lze dosáhnout umístěním cílové web stránky do rámce a patřičně upraveného okolí. Takže klidně tak lze obklopit originální stránku jedné nejmenované strany modrými str…
5. 1. 2010 10:37
Martin Straka (neregistrovaný)
Pletete se. Samozřejmě, že je XSS bezpečnostní zranitelnost s velkým dopadem. To, že se v médiích obecně prezentuje většinou jen ten jeden způsob je pravda. Každopádně například XSS zranitelnost znamená nefunkčnost většiny používaných způsobů obrany proti XSRF. a nebo třeba XSS wormy, nějaké zdroje: http://blogs.zdnet.com/security/?p=1487 http://www.betanews.com/article/CrossSite-Scripting-Worm-Hits-MySpace/1129232391 http://www.securityfocus.com/brief/945