Meta podaci omogućuju XSS napade

Sigurnosni stručnjak Tyler Reguly iz organizacije nCircle tvrdi kako podatkovna polja za spremanje meta informacija nude razne mogućnosti za XSS (eng. cross-site scripting) napade. Istaknuo je kako ovaj tip XSS napada nije novitet, ali je važno upozoriti javnost na ovaj problem. JavaScript kod ugrađen u Whois i DNS (eng. Domain Name System) zapise te SSL (eng. Secure Sockets Layer) certifikate može, pod određenim okolnostima, biti izveden u web pregledniku.

Na primjer, postoje web usluge koje provode online provjeru SSL certifikata drugih poslužitelja. Zajedno s kriptografskim informacijama, takve usluge prikazuju i podatke o vlasniku i izdavatelju certifikata. Ako usluga ne uspije ispravno filtrirati podatke, korisnički preglednik mogao bi pokrenuti JavaScript u upitu. Napadači mogu iskoristiti ovu ranjivost za izvođenje raznih aktivnosti, poput kopiranja kolačića (eng. cookies) za prijavu ili promjenu postavki korisničkih profila. Neke od usluga koje su ugrožene MIXSS (eng. meta information cross-site scripting) ranjivostima su SSL Shopper and WhatsMyIP.org. Mnoge druge usluge ranjive su na ovaj tip napada, a Reguly je napravio prezentaciju s nekoliko primjera. Problem se javlja i s mnogim drugim dijelovima meta informacija poput HTTP (eng. HyperText Transfer Protocol) zaglavlja i SMTP (eng. Simple Mail Transfer Protocol) bannera. Izvornu vijest je moguće pročitati na stranicama portala H-online.

Izvor: LSS Security