Ναι XSS στην επίσημη σελίδα του κυβερνώντος κόμματος. Μετά από την ανακοίνωσή μας για τη νέα δυνατότητα Secleaks που προσφέρει το SecNews.gr, λάβαμε μια ειδοποίηση που αξίζει να δημοσιεύσουμε. Αποστολέας της ευπάθειας (όπως θα δείτε και στην πρώτη εικόνα) είναι ο Nyo από την ομάδα Greek Hacking Scene (GHS).
Στη διάθεσή μας είναι και τα links της ευπάθειας, για κάθε ενδιαφερόμενο διαχειριστή, που επιθυμεί να επιλύσει το πρόβλημα.
Δείτε τις εικόνες που αποδεικνύουν την ευπάθεια:
Για όσους δεν γνωρίζουν:
Με τον όρο Cross-site scripting ή ΧSS αναφερόμαστε στην εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή Javascript σε κάποιο site. Κάποιος κακόβουλος χρήστης, θα μπορούσε να εισάγει κώδικα σε έναν ιστοχώρο, μέσω ενός κειμένου εισόδου για παράδειγμα, ο οποίος αφού δεν θα φιλτραριζόταν από τον ιστοχώρο σωστά, θα μπορούσε να προκαλέσει προβλήματα στον διαχειριστή ή επισκέπτη της ιστοσελίδας στόχου.
Παράδειγμα:
http://www.example.com/index.html?name=
Ο κακόβουλος χρήστης θα μπορούσε να επιτύχει :
Κλοπή κωδικών/λογαριασμών κλπ προσωπικών δεδομένων
Αλλαγή ρυθμίσεων του ιστοχώρου
Κλοπή των cookies
Ψεύτικη διαφήμιση (μέσω, π.χ., ενός συνδέσμου)
Η ευπάθεια αναφέρεται στην αδυναμία του συστήματος που υποστηρίζει ο ιστοχώρος να φιλτράρει και να απορρίψει τυχόν επιβλαβείς εισόδους.
Το SecNews.gr παραμένει στην διάθεση κάθε ενδιαφερόμενου για την επίλυση του προβλήματος.
Ορισμός XSS από το Wikipedia.