mboost-dp1

IT- og Telestyrelsen

Netsikker.nu ramt af sikkerhedsfejl

- Via Version2 -

Som nævnt tidligere her på newz.dk vil It- og Telestyrelsen gerne øge sikkerhedsniveauet hos danskere, der er på nettet, hvorfor de i denne uge afvikler deres årlige NetSikker.nu-kampagne.

Hos Version2 har man imidlertid fundet ud af, at netsikker.nu-hjemmesiden har været ramt af en fejl, der gjorde det muligt at afvikle eksterne javascripts hos de, der besøgte siden.

Der er tale om et Cross Site Scripting-hul, som styrelsen nu har fået lukket, men kunne være blevet brugt til at lede folk ind på andre sider.

Hos It- og Telestyrelsen mener man, at der er tale om et mindre hul og påpeger, at det ikke nåede at blive udnyttet, inden det blev lukket. Hullet blev opdaget af Hans-Michael Varbæk fra organisationen intern0t.net, der har specialiseret sig i at opdage sikkerhedsfejl på hjemmesider.





Gå til bund
Gravatar #1 - ghostface
30. sep. 2009 05:55
XSS er altså også utrolig svær at holde styr på, så inden korpset af "det er bare for dårli'!!" kommer marcherende ind så hav lige i mente det ikke er noget så simpelt at fixe som SQL injection.

Ud fra hvad jeg kan læse i artiklen var det også begrænset hvad hullet faktisk kunne bruges til.

Sikkerhedshul ja, men absolut ikke en seriøs svaghed i sitet, slet ikke med en moderne browser.

Hvis man følger de råd de har så vil man faktisk i værste fald se en række ekstra reklamer pga. en XSS svaghed.
Gravatar #2 - webwarp
30. sep. 2009 06:25
#1 Nu er IT-styrelsen jo nok ikke særlig subjektive til at vurdere risikoen i denne situation :)

Det vil jo alt andet lige nok også kunne have været brugt til at stjæle login med fx, og det er da en seriøs svaghed i siden. Men ja, er da enig i at det er svært, og 'selvfølgelig' er der fejl.. og godt de får dem løst, modsat andre.. selv min bank's webside har da XSS fejl..
Gravatar #3 - vision-dk
30. sep. 2009 06:41
#1 Enig det kunne være meget værre, men det er da en fejl man relativt nemt kan forhindre med html- encode/decode. Selvfølgelig kan det svære jo bestå i at bevare overblikket, så man ikke glemmer det nogen steder.
Gravatar #4 - Cyrack
30. sep. 2009 06:50
ghostface (1) skrev:
Hvis man følger de råd de har så vil man faktisk i værste fald se en række ekstra reklamer pga. en XSS svaghed.

Eller en flash-fil der udnytter et sikkrehedshul i brugerens installation af Flash, eller et pdf-dokument eller whatever. Drive-by angreb er altså stadigvæk en seriøs sikkerhedsrisiko, og hvis man kan få sit angreb injected på en side som folk har tillid til, så har du en rigtig fornuftig angrebsvinkel.
Udført rigtigt opdager folk intet før deres bankkonto er tom, og secret service vil vide hvorfor man har oprettet facebook-afstemninger om hvorvidt Barack Obama skal myrdes.
Gravatar #5 - Windcape
30. sep. 2009 07:00
ghostface (1) skrev:
XSS er altså også utrolig svær at holde styr på, så inden korpset af "det er bare for dårli'!!" kommer marcherende ind så hav lige i mente det ikke er noget så simpelt at fixe som SQL injection.
Forkert.

Der er f.eks. ingen grund til at tillade HTML og/eller Javascript som user-content. Hvis alt user-content er escaped når det outputtes, så er det ikke et problem.

XSS er relativt banalt sikre sig imod.
Gravatar #6 - Bean
30. sep. 2009 07:21
"Netsikker.nu ramt af sikkerhedsfejl"
Hvor ironisk. ^^
Gravatar #7 - Kornwit
30. sep. 2009 07:36
#6

Nu er fejlen jo blevet rettet før nogen nåede at udnytte det.
Så igen skade er jo sket for nogen. +At de retter sådanne fejl, viser jo bare at Netsikker er "netsikker" :P
Gravatar #8 - Tagger
30. sep. 2009 07:37
#7 eller i det mindste gerne VILLE være netsikker :P
Gravatar #9 - Wlah
30. sep. 2009 07:38
#8
Ja.. Men de er først blevet netsikre... nu
Gravatar #10 - vision-dk
30. sep. 2009 07:48
#9 så vidt vides ;-)
Gravatar #11 - p1x3l
30. sep. 2009 09:51
"Hos It- og Telestyrelsen mener man, at der er tale om et mindre hul og påpeger, at det ikke nåede at blive udnyttet, inden det blev lukket. Hullet blev opdaget af Hans-Michael Varbæk fra organisationen intern0t.net, der har specialiseret sig i at opdage sikkerhedsfejl på hjemmesider."

som i selv siger... måske fordi en whitehat opdaget det først ... ændre ik på det et fælt hul

ku ligeså godt være en med være intetioner der havde opdaget det først ....

så ligesom hva det ka bruges til der definere om det en critical bug ik om det så blev udnyttet eller ej ...

Gravatar #12 - Taxwars
30. sep. 2009 12:02
#1
De kan bare lade være med at bruge cross site scripting, det er der ingen grund til andet en man er en slacker som springer over hvor gærdet er lavest.
Gravatar #13 - arne_v
30. sep. 2009 12:14
Hos It- og Telestyrelsen mener man, at der er tale om et mindre hul


Så kunne de jo tilbyde at dække tab for danskere forårsaget af sådanne "mindre" huller.

:-)

og påpeger, at det ikke nåede at blive udnyttet, inden det blev lukket


Og det er han sikker på fordi?

Hvis det bare er fordi at han ikke har hørt om en udnyttelse, så er udtalelsen værre end forekomsten af hullet.

Hvis de kører mod_security og har gennemsøgt log filen for alt postet indhold eller har gennemsøgt alle opdateringer i database transaktions loggen, så har de naturligvis deres på det tørre.

Men jeg er lidt skeptisk.
Gravatar #14 - arne_v
30. sep. 2009 12:20
ghostface (1) skrev:
XSS er altså også utrolig svær at holde styr på, så inden korpset af "det er bare for dårli'!!" kommer marcherende ind så hav lige i mente det ikke er noget så simpelt at fixe som SQL injection.


Input validering er ikke så svært.

Specielt hvis man vender det om således at man ikke tester for forbudt input med i.s.f. tester for tilladt input.

ghostface (1) skrev:

Ud fra hvad jeg kan læse i artiklen var det også begrænset hvad hullet faktisk kunne bruges til.

Sikkerhedshul ja, men absolut ikke en seriøs svaghed i sitet, slet ikke med en moderne browser.

Hvis man følger de råd de har så vil man faktisk i værste fald se en række ekstra reklamer pga. en XSS svaghed.


Øh.

Hvis de kan få udført vilkårligt JavaSscript så kan de også indsætte:

<a href="http://ondsindet.site/hack.din.computer">Klik her for flere detaljer (du skal svare OK til at installere noget når der spørges</A>
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login