Cross-site scripting (XSS) στην επίσημη σελίδα της Digea

Η Digea Ψηφιακός Πάροχος Α.Ε. είναι μια εταιρεία που έχει συσταθεί από τα ιδιωτικά τηλεοπτικά κανάλια εθνικής εμβέλειας ALPHA, ALTER, ANTΕΝΝΑ, ΜΑΚΕΔΟΝΙΑ TV, MEGA, ΣΚΑΪ και STAR.
Στις 7 Φεβρουαρίου του 2014 ανακηρύχτηκε υπερθεματιστής για το σύνολο των δικαιωμάτων χρήσης ραδιοσυχνοτήτων εθνικής και περιφερειακής κάλυψης. Στόχος της εταιρείας ήταν να κατασκευάσει το επίγειο ψηφιακό δίκτυο της χώρας και να ολοκληρώσει τη μετάβαση από το αναλογικό σε ψηφιακό τηλεοπτικό σήμα.Digea

Μέχρι το τέλος του 2013 η εταιρεία ενεργοποίησε 13 κέντρα εκπομπής ανά την Ελλάδα, δίνοντας πρόσβαση στο ελεύθερο επίγειο ψηφιακό τηλεοπτικό σήμα σε πάνω από το 70% του πληθυσμού της χώρας.

Με την ολοκλήρωση της επίγειας ψηφιακής μετάβασης, ενεργοποιήθηκαν 156 κέντρα εκπομπής, που καλύπτουν με ψηφιακό σήμα το 95% του ελληνικού πληθυσμού.

Πραγματικά εντυπωσιακά τα επιτεύγματα της εταιρείας, αλλά σύμφωνα με τον γνωστό μας ερευνητή Nyo(GHS), η επίσημη ιστοσελίδα της Digea επιτρέπει σε κακόβουλους ή μη κακόβουλους χρήστες Cross-site scripting ή XSS.

Με τον όρο Cross-site scripting ή XSS αναφερόμαστε στην εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή Javascript σε κάποια ιστοσελίδα. Κάποιος κακόβουλος χρήστης, θα μπορούσε να εισάγει κώδικα σε μια ιστοσελίδα, μέσω ενός κειμένου εισόδου για παράδειγμα, το οποίο αφού δεν θα φιλτραριζόταν από τη σελίδα σωστά, θα μπορούσε να προκαλέσει προβλήματα στον διαχειριστή ή επισκέπτη του site.

Παράδειγμα:

http://www.example.com/index.html?name=

Ο κακόβουλος χρήστης θα μπορούσε να:

Υποκλέψει κωδικούς λογαριασμών και προσωπικά δεδομένα
Αλλάξει τις ρυθμίσεις του ιστοχώρου
Υποκλέψει cookies
Να ανεβάσει ψευδείς διαφημίσεις, μέσω κάποιου συνδέσμου

Η ευπάθεια αναφέρεται στην αδυναμία του συστήματος να φιλτράρει και να απορρίψει τυχόν επιβλαβείς εισόδους.

Δείτε τα screenshots που μας έστειλε ο Nyo

digea

Σύμφωνα με τον ερευνητή δημοσιοποίησε το XSS σαν απάντηση στο βίντεο “MEGA – Η DIGEΑ απειλεί με ΜΑΥΡΟ!”

Το βίντεο αναφέρει ότι “σύμφωνα με πληροφορίες το Διοικητικό Συμβούλιο της Digea αποφάσισε να προχωρήσει σε αποδυνάμωση του σήματος του σταθμού παρά το γεγονός ότι είναι σε εξέλιξη διαπραγματεύσεις μεταξύ μετόχων και τραπεζών για να βρεθεί λύση. Αυτό σημαίνει ότι ή θα προβάλλεται «σπασμένη» εικόνα με pixels, είτε «παγωμένη» εικόνα και να ακούγεται μόνο ήχος.”

https://www.youtube.com/watch?v=FCw3mzqefjg

Αναφέρει επίσης ότι η δημοσιοποίηση του XSS δεν έγινε για να υποστηρίξει κάποιο ιδιωτικό κανάλι αλλά τον τελικό χρήστη-τηλεθεατή.
Το XSS επηρεάζει όλη τη σελίδα μέσω της javascript και μπορεί να την παραμορφώσει πλήρως.

To SecNews.gr είναι στη διάθεση κάθε ενδιαφερόμενου από την διαχειριστική ομάδα της σελίδας του Digea.gr για λεπτομέρειες της ευπάθειας.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).