Ένας αναγνώστης του iGuRu.gr μας πληροφόρησε με ένα e-mail, ότι ανακάλυψε ευπάθεια XSS στη σελίδα του Πάντειου Πανεπιστημίου Κοινωνικών και Πολιτικών Επιστημών.
Μαζί με την αναφορά της ευπάθειας μας παραχώρησε και μια εικόνα που αποδεικνύει το κενό ασφαλείας.
Με τον όρο Cross-site scripting ή XSS (δεν ονομάζεται CSS γιατί υπάρχει ήδη η ονομασία αρχείων .css) αναφερόμαστε στην εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή Javascript σε κάποιο ιστοχώρο.
Κάποιος κακόβουλος χρήστης, θα μπορούσε να εισάγει κώδικα σε έναν ιστοχώρο, μέσω ενός κειμένου εισόδου για παράδειγμα, ο οποίος αφού δεν θα φιλτραριζόταν από τον ιστοχώρο σωστά, θα μπορούσε να προκαλέσει προβλήματα στον διαχειριστή ή επισκέπτη του ιστοχώρου. παράδειγμα:
https://test-selida.gr?name=< script >alert("Τίτλος xss") script >Ο κακόβουλος χρήστης θα μπορούσε να επιτύχει :
Κλοπή κωδικών/λογαριασμών κλπ προσωπικών δεδομένων
Αλλαγή ρυθμίσεων του ιστοχώρου
Κλοπή των cookies
Ψεύτικη διαφήμιση (μέσω, π.χ., ενός συνδέσμου)Η ευπάθεια αναφέρεται στην αδυναμία του συστήματος που υποστηρίζει ο ιστοχώρος να φιλτράρει και να απορρίψει τυχόν επιβλαβείς εισόδους.
Σε περίπτωση που οι διαχειριστές της σελίδας ενδιαφέρονται για περισσότερες πληροφορίες, μπορούν να επικοινωνήσουν μαζί μας στο [email protected] για να τους προωθήσουμε την ευπάθεια.
Περιγραφή ΧSS: Wikipedia