Premium

Získejte všechny články mimořádně
jen za 49 Kč/3 měsíce

Nova měla vadné stránky. Útokem XSS na ně šlo pověsit cokoli

Televize Nova se nechala nachytat na chybu, na kterou sama upozorňovala ve své reportáži. Webové stránky televize jsou jednoduše napadnutelné. Útočník na ně může pověsit libovolný obsah a upravený odkaz rozeslat.

Technet na Nově? XSS snadno ošálí | foto: Technet.cz

Aktualizace: Chyba zabezpečení webu byla na náš podnět odstraněna. Na vyjádření tiskové mluvčí TV Nova zatím čekáme. 

Jednou z nejzáludnějších chyb zabezpečení webových stránek je možnost podvržení jejich obsahu. Může poškozovat provozovatele stránky i samotného návštěvníka. Anebo jenom pobavit.

Recesí nejspíše byl i XSS útok na web ČSSD, kdy místo předvolebních prohlášení stránka nabídla "antiparoubkovský" klip s názvem "Předvolební hymna - aneb začněte se bát". Informovali jsme o něm v tomto článku VIDEO: Web ČSSD napadli útočníci, vnutili mu loupežníky z pohádky.

O tomto XSS útoku informoval i zpravodajský web televize Nova, který teď paradoxně trpí úplně stejnou chybou. Jednoduchou úpravou v adresní řádce můžete upravit tento web třeba takto:

XSS

Samozřejmě, toto je hodně okaté. Ale stačí vytvořit vlastní zprávy v podobném layoutu, jako má napadený zpravodajský server, a rozeslat upravený odkaz. Čtenář pak nemusí poznat, že jde o podvrh.

Co je to XSS?

Cross-site scripting (zkráceně XSS) je název pro typ útoku na webové aplikace či stránky generované serverem. Tato zranitelnost umožní útočníkovi napadnout stránku podstrčením neočekávaných hodnot, což má za následek například zobrazení obsahu z jiného serveru. Jde o jeden z jednodušších způsobů napadení.

Účinky se liší podle konkrétního provedení - od neškodných vtipných hrátek, které maximálně zesměšní autory špatně zabezpečeného systému, až po vážné napadení uživatele prostřednictvím bezpečnostní díry na jeho systému, nebo dokonce trvalé poškození dat na napadeném serveru.

Obrana před XSS je relativně jednoduchá, je třeba "ošetřit" uživatelský vstup tak, aby nemohl vložit žádné znaky nebo sekvence, které by webová aplikace interpretovala jinak, než danému vstupu přísluší, například jako spustitelný script.

Jak konkrétně může XSS ohrozit běžného uživatele?

Pokud by stránka, která uchovává citlivá data uživatelů, byla napadnutelná XSS, může útočník pomocí XSS vložit na stránku vlastní přihlašovací formulář. Pak pošle uživatelům hromadný mail, třeba o tom, že jsou na dané stránce nové podmínky použití, které musí uživatel odsouhlasit.

Odkaz v e-mailu je doplněn o XSS útok a uživatel se tak dostane na stránku s falešným přihlašovacím formulářem. Přestože některé prohlížeče (např. Internet Explorer 8) jsou schopny XSS útok rozpoznat, je velká šance, že uživatel naletí a do formuláře svoje jméno a heslo vloží. Údaje se pak okamžitě pošlou útočníkovi.

XSS

Internet Explorer 8 rozpoznal XSS upravení stránky a načtení podstrčeného obsahu zablokoval. Informuje o tom vrchní informační řádek.

Je tak na webmasterovi, aby aplikaci důkladně zabezpečil, a to jak proti XSS, tak proti SQL Injection, dalšímu z rozšířených útoků.

Zabezpečení spočívá, jednoduše řečeno, v důsledné aplikaci českého přísloví "dvakrát měř, jednou řež" - každý vstup je třeba ošetřit a odvšivit od nepřípustných znaků, než jej systém pustí dále.

  • Nejčtenější

Spotify končí s „věcí do auta“, posluchači mají zánovní zařízení vyhodit

v diskusi je 40 příspěvků

26. května 2024  13:28

Je to jak z příručky „jak naštvat zákazníky“. Spotify ukončuje podporu svého jediného fyzického...

Druhá světová válka měla i své dinosauří oběti

v diskusi jsou 4 příspěvky

25. května 2024

Psal se 24. duben roku 1944 a nacistická válečná mašinérie už nebyla schopna zabránit konečné...

{NADPIS}

{LABEL} {POPISEK}

KVÍZ: Znáte letadla československých pilotů?

v diskusi nejsou příspěvky

24. května 2024

Typů letadel, do kterých usedali českoslovenští letci, bylo nepřeberné množství. Zlomkové množství...

Nejzajímavější sluchátka na trhu? Novinka Sonosu je první svého druhu

v diskusi je 17 příspěvků

21. května 2024

Úderem patnácté hodiny skončilo embargo na první sluchátka společnosti Sonos, které po krátkém...

{NADPIS}

{LABEL} {POPISEK}

Rusko vypustilo družici schopnou sledovat a ničit jiné satelity, míní Američané

v diskusi je 55 příspěvků

22. května 2024  8:30

Rusko 16. května vypustilo satelit, o němž se americké zpravodajské služby domnívají, že je to...

Deset věcí, které by měl znát každý uživatel úložiště myšlenek OneNote

v diskusi nejsou příspěvky

28. května 2024

Zajímavý pomocník v každodenním životě OneNote disponuje velkou paletou funkcí. Osvojte si...

Hokej byl zátěžovým testem pro český internet, padaly rekordy

v diskusi je 6 příspěvků

27. května 2024  14:57

V síti společnosti O2, která přímé přenosy po internetových linkách pro Českou televizi...

Ladislava Chudíka si diváci pamatují hlavně jako laskavého primáře Sovu

v diskusi jsou 3 příspěvky

27. května 2024  14:05

Slovenský herec Ladislav Chudík, který se narodil 27. května 1924, byl v Česku známý a oblíbený...

Jsou tu už skoro 40 let. Pamatujete si na starší verze Windows?

v diskusi je 27 příspěvků

27. května 2024

Operační systém Windows příští rok oslaví 40 let od svého vzniku. Za tu dobu si prošel mnoha...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Párkům odzvonilo. Podnikatel lije do rohlíků svíčkovou a dobývá benzinky

Na pracovních cestách se podnikatel v gastronomii Lukáš Nádvorník přejedl párků v rohlíku. Napadlo ho, že by do pečiva...

Herec Lukáš Vaculík se oženil, dívčí idol 80. let si vzal ředitelku z Primy

Lukáš Vaculík (61) se tajně oženil. Vzal si výrobní ředitelku a producentku FTV Prima Luciu Kršákovou (46). Herec a...

Milan Hein odhalil neshody mezi Simonou Postlerovou a její matkou

Smrt herečky Simony Postlerové (†59) byla ranou pro celou její rodinu. Na parte ale chybělo jméno hereččiny matky Jany...

Hoši, nádhera, děkují celebrity za hokejové zlato. Pokáč baví vítěze písničkou

Česká hokejová reprezentace získala po čtrnácti letech zlato na mistrovství světa. Obrovský úspěch nadchl nejen...

Zavřela jsem vagínu a už neotevřu. Když ženy žijí bez sexu a nechybí jim

Premium Stále častěji se můžeme dočíst, že lidstvo se nevěnuje své základní, přirozené potřebě – sexu. Nastupující generace...