Čtvrtek 25. února 2021, svátek má Liliana
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 25. února 2021 Liliana

Nova měla vadné stránky. Útokem XSS na ně šlo pověsit cokoli

Televize Nova se nechala nachytat na chybu, na kterou sama upozorňovala ve své reportáži. Webové stránky televize jsou jednoduše napadnutelné. Útočník na ně může pověsit libovolný obsah a upravený odkaz rozeslat.

Technet na Nově? XSS snadno ošálí | foto: Technet.cz

Aktualizace: Chyba zabezpečení webu byla na náš podnět odstraněna. Na vyjádření tiskové mluvčí TV Nova zatím čekáme. 

Jednou z nejzáludnějších chyb zabezpečení webových stránek je možnost podvržení jejich obsahu. Může poškozovat provozovatele stránky i samotného návštěvníka. Anebo jenom pobavit.

Recesí nejspíše byl i XSS útok na web ČSSD, kdy místo předvolebních prohlášení stránka nabídla "antiparoubkovský" klip s názvem "Předvolební hymna - aneb začněte se bát". Informovali jsme o něm v tomto článku VIDEO: Web ČSSD napadli útočníci, vnutili mu loupežníky z pohádky.

O tomto XSS útoku informoval i zpravodajský web televize Nova, který teď paradoxně trpí úplně stejnou chybou. Jednoduchou úpravou v adresní řádce můžete upravit tento web třeba takto:

XSS

Samozřejmě, toto je hodně okaté. Ale stačí vytvořit vlastní zprávy v podobném layoutu, jako má napadený zpravodajský server, a rozeslat upravený odkaz. Čtenář pak nemusí poznat, že jde o podvrh.

Co je to XSS?

Cross-site scripting (zkráceně XSS) je název pro typ útoku na webové aplikace či stránky generované serverem. Tato zranitelnost umožní útočníkovi napadnout stránku podstrčením neočekávaných hodnot, což má za následek například zobrazení obsahu z jiného serveru. Jde o jeden z jednodušších způsobů napadení.

Účinky se liší podle konkrétního provedení - od neškodných vtipných hrátek, které maximálně zesměšní autory špatně zabezpečeného systému, až po vážné napadení uživatele prostřednictvím bezpečnostní díry na jeho systému, nebo dokonce trvalé poškození dat na napadeném serveru.

Obrana před XSS je relativně jednoduchá, je třeba "ošetřit" uživatelský vstup tak, aby nemohl vložit žádné znaky nebo sekvence, které by webová aplikace interpretovala jinak, než danému vstupu přísluší, například jako spustitelný script.

Jak konkrétně může XSS ohrozit běžného uživatele?

Pokud by stránka, která uchovává citlivá data uživatelů, byla napadnutelná XSS, může útočník pomocí XSS vložit na stránku vlastní přihlašovací formulář. Pak pošle uživatelům hromadný mail, třeba o tom, že jsou na dané stránce nové podmínky použití, které musí uživatel odsouhlasit.

Odkaz v e-mailu je doplněn o XSS útok a uživatel se tak dostane na stránku s falešným přihlašovacím formulářem. Přestože některé prohlížeče (např. Internet Explorer 8) jsou schopny XSS útok rozpoznat, je velká šance, že uživatel naletí a do formuláře svoje jméno a heslo vloží. Údaje se pak okamžitě pošlou útočníkovi.

XSS

Internet Explorer 8 rozpoznal XSS upravení stránky a načtení podstrčeného obsahu zablokoval. Informuje o tom vrchní informační řádek.

Je tak na webmasterovi, aby aplikaci důkladně zabezpečil, a to jak proti XSS, tak proti SQL Injection, dalšímu z rozšířených útoků.

Zabezpečení spočívá, jednoduše řečeno, v důsledné aplikaci českého přísloví "dvakrát měř, jednou řež" - každý vstup je třeba ošetřit a odvšivit od nepřípustných znaků, než jej systém pustí dále.

  • Nejčtenější

ANALÝZA: Lidé nejsou méně ukáznění. Proč rostou počty případů a co dál

Ze současné situace neexistuje žádné jednoduché a levné východisko. Ale jedna cesta nabízí naději na relativně rychlé...

Solární elektrárna na Sahaře by změnila svět k horšímu, tvrdí studie

Sahara osazená solárními panely by možná naplnila sen o zelené poušti i nevyčerpatelném zdroji čisté energie. Skrývá v...

Česko bude raketová velmoc. Ale jen v tom špatném smyslu

Česká armáda se chystá na nákup nové generace protiletadlových raketových systémů. Ale je poněkud nepochopitelné, že si...

Úspěch. Americká laboratoř přistála na Marsu i s malým vrtulníkem

NASA přiletěla na Mars znovu vyzkoušet nejtěžší přistávací manévr, jaký lidstvo na jiné planetě doposud provedlo....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Otevřel se padák a sonda dosedla. NASA zveřejnila záběry přistání na Marsu

NASA zveřejnila tříminutový videozáznam čtvrtečního přistání robotické sondy Perseverance na povrchu Marsu. Jde o...

Dvaadvacet znaků, že s tímhle mužem vás místo pohádky čeká jen utrpení

Premium Některé ženy jako by se zhlédly v popelce. Věří, že oříšky přinášejí prince. Jenže nakonec jsou z nich spíš veverky –...

Inflace požírá uložené peníze. Kam s nimi, aby jich zmizelo co nejméně?

Premium Naspořili jste 200 000 korun, uložili je na účet, těšili se na úroky a po roce zjistili, že jste zbohatli o celých 340...

Biolog Zrzavý: Covid se postará, abychom umírali i na něco jiného než rakovinu

Premium Podle amerického psychologa a genetika Roberta Plomina mají zděděné geny daleko větší význam při utváření naší...

  • Další z rubriky

Zablokovat Trumpa bylo správné, ale je to naše selhání, říká šéf Twitteru

Sociální síť Twitter trvale zablokovala americkému prezidentovi Donaldu Trumpovi účet. Jako důvod uvedla porušování...

Twitter obral Bidena o sledující, stěžuje si jeho administrativa

Změna na postu amerického prezidenta byla při přechodu mandátu z Obamy na Trumpa doprovázena i přesunem účtů na...

Válka o soukromí na internetu probíhá i v segmentu vyhledávání

Počet položených dotazů prostřednictvím internetových prohlížečů každým rokem roste. S tím rostou i požadavky na větší...

Rezervace očkování je plná zbytečných chyb. Způsobila i pád celého systému

Státní web na rezervaci očkování proti covidu-19 byl plný úplně základních chyb a zbytečných komplikací. Navíc začal...

Gabriela Koukalová: Exmanžel mě podváděl a myslím, že utrácel mé peníze

Bývalá světová šampionka v biatlonu, dnes moderátorka televizního pořadu Showtime, Gabriela Koukalová přiznává v...

Bondgirl Rosamund Pike žije v Česku. Překvapili ji opilí rafťáci v Krumlově

Britská herečka Rosamund Pike (42), známá například z bondovky Dnes neumírej, se kvůli natáčení s celou rodinou...

VIDEO: 5 triků, jak v obchodě otevřete mikrotenový sáček. Rychle a bez nervů

Suché ruce a mikrotenové sáčky - často náš největší nepřítel v obchodech. Někdy je to v oddělení pečiva či ovoce a...

Chci kratší pracovní týden a pět týdnů dovolené, říká Maláčová

Válka o kurzarbeit dospěla do fáze podepisování podmínek mírové dohody. Alespoň to tak působí z úst ministryně práce a...

Zemřel český DJ Thomas Coastline. Bylo mu 35 let

Zemřel známý český DJ Thomas Coastline, vlastním jménem Tomáš Malina. V minulosti prodělal rakovinu tlustého střeva. O...