Čtvrtek 26. května 2022, svátek má Filip
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 26. května 2022 Filip

Nova měla vadné stránky. Útokem XSS na ně šlo pověsit cokoli

Televize Nova se nechala nachytat na chybu, na kterou sama upozorňovala ve své reportáži. Webové stránky televize jsou jednoduše napadnutelné. Útočník na ně může pověsit libovolný obsah a upravený odkaz rozeslat.

Technet na Nově? XSS snadno ošálí | foto: Technet.cz

Aktualizace: Chyba zabezpečení webu byla na náš podnět odstraněna. Na vyjádření tiskové mluvčí TV Nova zatím čekáme. 

Jednou z nejzáludnějších chyb zabezpečení webových stránek je možnost podvržení jejich obsahu. Může poškozovat provozovatele stránky i samotného návštěvníka. Anebo jenom pobavit.

Recesí nejspíše byl i XSS útok na web ČSSD, kdy místo předvolebních prohlášení stránka nabídla "antiparoubkovský" klip s názvem "Předvolební hymna - aneb začněte se bát". Informovali jsme o něm v tomto článku VIDEO: Web ČSSD napadli útočníci, vnutili mu loupežníky z pohádky.

O tomto XSS útoku informoval i zpravodajský web televize Nova, který teď paradoxně trpí úplně stejnou chybou. Jednoduchou úpravou v adresní řádce můžete upravit tento web třeba takto:

XSS

Samozřejmě, toto je hodně okaté. Ale stačí vytvořit vlastní zprávy v podobném layoutu, jako má napadený zpravodajský server, a rozeslat upravený odkaz. Čtenář pak nemusí poznat, že jde o podvrh.

Co je to XSS?

Cross-site scripting (zkráceně XSS) je název pro typ útoku na webové aplikace či stránky generované serverem. Tato zranitelnost umožní útočníkovi napadnout stránku podstrčením neočekávaných hodnot, což má za následek například zobrazení obsahu z jiného serveru. Jde o jeden z jednodušších způsobů napadení.

Účinky se liší podle konkrétního provedení - od neškodných vtipných hrátek, které maximálně zesměšní autory špatně zabezpečeného systému, až po vážné napadení uživatele prostřednictvím bezpečnostní díry na jeho systému, nebo dokonce trvalé poškození dat na napadeném serveru.

Obrana před XSS je relativně jednoduchá, je třeba "ošetřit" uživatelský vstup tak, aby nemohl vložit žádné znaky nebo sekvence, které by webová aplikace interpretovala jinak, než danému vstupu přísluší, například jako spustitelný script.

Jak konkrétně může XSS ohrozit běžného uživatele?

Pokud by stránka, která uchovává citlivá data uživatelů, byla napadnutelná XSS, může útočník pomocí XSS vložit na stránku vlastní přihlašovací formulář. Pak pošle uživatelům hromadný mail, třeba o tom, že jsou na dané stránce nové podmínky použití, které musí uživatel odsouhlasit.

Odkaz v e-mailu je doplněn o XSS útok a uživatel se tak dostane na stránku s falešným přihlašovacím formulářem. Přestože některé prohlížeče (např. Internet Explorer 8) jsou schopny XSS útok rozpoznat, je velká šance, že uživatel naletí a do formuláře svoje jméno a heslo vloží. Údaje se pak okamžitě pošlou útočníkovi.

XSS

Internet Explorer 8 rozpoznal XSS upravení stránky a načtení podstrčeného obsahu zablokoval. Informuje o tom vrchní informační řádek.

Je tak na webmasterovi, aby aplikaci důkladně zabezpečil, a to jak proti XSS, tak proti SQL Injection, dalšímu z rozšířených útoků.

Zabezpečení spočívá, jednoduše řečeno, v důsledné aplikaci českého přísloví "dvakrát měř, jednou řež" - každý vstup je třeba ošetřit a odvšivit od nepřípustných znaků, než jej systém pustí dále.

80 let od atentátu na Heydricha

27. 5. 1942 provedli českoslovenští parašutisté atentát na zastupujícího říšského protektora na území Čech a Moravy Reinharda Heydricha.

  • Nejčtenější

Češi posílají na pomoc Ukrajině „ďáblův kočár“

Po pondělním zasedání Kontaktní skupiny pro Ukrajinu zazněla na tiskové konferenci několikrát informace, kterou...

V Charkově se skrývá tajemný supertank, příliš drahý pro sériovou výrobu

Válka na Ukrajině vstupuje do nové fáze. Rusové se po Kyjevu stahují i z okolí Charkova a chystají se zřejmě soustředit...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Ukrajinci dostali západní superhoufnice M777. Do akce šla i Bohdana

Ať už si dělostřelectvo v dávných dobách vysloužilo titul královny či krále bojiště, ukazuje se i v jednadvacátém...

České tanky pro Ukrajinu bojují u Mykolajivu. Máme fotky z fronty

Exkluzivně Česká republika před několika týdny začala na východ posílat ruční zbraně a munici a později i dělostřelectvo, tanky a...

Dohoda s Německem: na stole jsou Leopardy, Pumy a raketomety MLRS

Válka na Ukrajině významně rozhýbala nejen nákupy nových zbraní, ale paradoxně také jejich výměny v rámci evropského...

V předdůchodu si odpočinu a pak se uvidí. Možnost, o které se moc neví

Premium Má do penze pět let a je v předdůchodu na tři roky. Na víc totiž nemá naspořeno. Že to nejde? Ale ano. Legislativa to...

Mami, ty se uzdravíš! Jana Vránová o synově cestě do NHL i boji s rakovinou

Premium Před sedmi lety si prožila peklo. Bojovala s rakovinou lymfatických uzlin a nevěděla, jak to synovi, hrajícímu tehdy...

Půst, občas večeře, čtyři kávy denně. Jak jíst podle výživového poradce Havlíčka

Premium Strava ovlivňuje nejen naši váhu či kondici, ale i náladu a zdravotní stav. Ostatně až dvě třetiny všech nemocí mají...

  • Další z rubriky

Na ruské ambasádě v Praze byla trollí farma, říká expert na dezinformace

Rozstřel Podle Františka Vrabela ze společnosti Semantic Visions bylo možné v informačním prostoru již před vpádem Ruska na...

Digitální stopu děláme i nevědomky. Marketingové agentury ji poté využívají

Premium Každá fotka či příspěvek, který nahrajeme na sociální sítě, ale i webová stránka, kterou navštívíme, či e-mail, který...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Komunikace vojáků i zprávy z ruského pekla. K čemu je aplikace Telegram

Společně s válkou na Ukrajině se do popředí různých zdrojů informací dostala komunikační služba Telegram. Tato aplikace...

Válka znovu zažehla posedlost donekonečna surfovat špatnými zprávami

Situace posledních týdnů znovu vynesla do popředí jeden nezvyk používání internetu, kterému se velice dařilo už v...

Muž s penisem na předloktí. Pěstoval si ho šest let pro transplantaci

Je to vlastně příběh protkaný smutkem, groteskní fyzickou modifikací, ale se šťastným koncem. A též s mnoha otázkami....

Část dětí dostane 5 000 Kč automaticky, zbytek bude žádat elektronicky

Rodiče, kteří na své potomky pobírají příspěvek na dítě, dostanou státní pětitisícovou pomoc automaticky. Ostatní budou...

Češi posílají na pomoc Ukrajině „ďáblův kočár“

Po pondělním zasedání Kontaktní skupiny pro Ukrajinu zazněla na tiskové konferenci několikrát informace, kterou...

V Charkově se skrývá tajemný supertank, příliš drahý pro sériovou výrobu

Válka na Ukrajině vstupuje do nové fáze. Rusové se po Kyjevu stahují i z okolí Charkova a chystají se zřejmě soustředit...

Ukrajinci dostali západní superhoufnice M777. Do akce šla i Bohdana

Ať už si dělostřelectvo v dávných dobách vysloužilo titul královny či krále bojiště, ukazuje se i v jednadvacátém...