Ευπάθεια XSS στο Πάντειο Πανεπιστήμιο

Ένας αναγνώστης του .gr μας πληροφόρησε με ένα e-mail, ότι ανακάλυψε ευπάθεια XSS στη σελίδα του Πάντειου Πανεπιστημίου Κοινωνικών και Πολιτικών Επιστημών.

Μαζί με την αναφορά της ευπάθειας μας παραχώρησε και μια εικόνα που αποδεικνύει το κενό ασφαλείας. xss

Με τον όρο -site scripting ή XSS (δεν ονομάζεται CSS γιατί υπάρχει ήδη η ονομασία αρχείων .css) αναφερόμαστε στην εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή Javascript σε κάποιο ιστοχώρο.

Κάποιος κακόβουλος χρήστης, θα μπορούσε να εισάγει κώδικα σε έναν ιστοχώρο, μέσω ενός κειμένου εισόδου για παράδειγμα, ο οποίος αφού δεν θα φιλτραριζόταν από τον ιστοχώρο σωστά, θα μπορούσε να προκαλέσει προβλήματα στον διαχειριστή ή επισκέπτη του ιστοχώρου. παράδειγμα:

 
https://test-selida.gr?name=alert("Τίτλος xss") script >

Ο κακόβουλος χρήστης θα μπορούσε να επιτύχει :

Κλοπή κωδικών/λογαριασμών κλπ προσωπικών δεδομένων
Αλλαγή ρυθμίσεων του ιστοχώρου
Κλοπή των cookies
Ψεύτικη διαφήμιση (μέσω, π.χ., ενός συνδέσμου)

Η ευπάθεια αναφέρεται στην αδυναμία του συστήματος που υποστηρίζει ο ιστοχώρος να φιλτράρει και να απορρίψει τυχόν επιβλαβείς εισόδους.

Σε περίπτωση που οι διαχειριστές της σελίδας ενδιαφέρονται για περισσότερες πληροφορίες, μπορούν να επικοινωνήσουν μαζί μας στο info@iguru.gr για να τους προωθήσουμε την ευπάθεια.

Περιγραφή ΧSS: Wikipedia

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).