Näin xss-aukoilla on hyökätty

Suomalaiset tietotekniikkaharrastajat demonstroivat liikenne- ja viestintäministeriön sivuilta löytynyttä xss-haavoittuvuutta upottamalla Wikipedian artikkelin haavoittuvuuksista sivuille.

Haavoittuvuus Danske Bankin verkkopankissa paljasti xss-ongelmavyyhden. Maailmalla xss-haavoittuvuuksien avulla on varastettu esimerkiksi pankkitunnuksia ja luottokorttien numeroita.

31.3.2008 15:02

Viime viikolla paljastunut Sampo Pankin tietoturvahaavoittuvuus on nostanut cross-site scripting- eli xss-haavoittuvuudet tapetille.

Suomalaiset tietotekniikan harrastajat ovat paljastaneet vastaavia haavoittuvuuksia myös muiden pankkien, yritysten, valtionhallinnon ja median verkkosivuilta.

Kyseessä on kaikkea muuta kuin uusi ilmiö.

– Samaa tekniikkaa on hyödynnetty jo vuosikausia ennen kuin koko xss-termi yleistyi, TietoEnatorilla työskentelevä tietoturvaneuvonantaja Tomi Tuominen sanoo.

Tuominen kertoo kuulleensa vastaavista haavoittuvuuksista ensimmäistä kertaa vuonna 1997.

– Se, että haavoittuvuuksia löytyy näin monelta sivulta kertoo omaa tarinaansa ohjelmistokehittäjien arjesta. Kovien aikataulupaineiden alla tietoturva ei aina ole päällimmäisenä mielessä, Tuominen sanoo.

Hieman yksinkertaistettuna xss-hyökkäyksissä on kyse siitä, että sivuston syötteentarkastus on toteutettu puutteellisesti.

Huolimattomasti toteutetulla sivulla käyttäjä saattaa pystyä muokkaamaan sivuston ulkonäköä esimerkiksi syöttämällä omaa koodiaan sivulla pyörivän hakukoneen hakulausekkeisiin.

Puutteellinen syötteentarkistus voi altistaa sivuston monille erilaisille hyökkäyksille, joista xss on vain yksi esimerkki.

Se, että joltain sivulta löytyy xss-aukko, ei ole itsessään vielä katastrofi, Tuominen muistuttaa. Tietyillä herkkää tietoa käsittelevillä sivuilla haavoittuvuus avaa kuitenkin suuret mahdollisuudet väärinkäytöksille.

Digitoday listasi törkeimpiä esimerkkejä siitä, mihin kaikkeen verkkosivujen xss-haavoittuvuuksia on maailmalla käytetty.

Banca Fideuram, 2008: Italialaisen pankin sivuille upotettu kalastelu-sivu onnistui hämäämään useita.

Sen avulla vorot urkkivat pankkitunnuksia ja salasanoja, jotka siirrettiin nopeasti Taiwanissa sijaitsevalle palvelimelle.

Orkut, 2006: Yhteisösivusto kärsi niin kutsutusta pysyvästä xss-haavoittuvuudesta, jonka avulla pystyttiin varastamaan vierailijoiden evästetietoja.

Varustettujen evästetietojen avulla hyökkääjä pystyi varastamaan esimerkiksi muiden käyttäjien luomia ryhmiä.

PayPal, 2006: Verkkomaksuja välittävän PayPalin sivut kärsivät xss-haavoittuvuudesta.

Sen avulla saatiin kalasteltua luottokorttinumeroita ja henkilökohtaisia tietoja.

Google, 2005: Xss-haavoittuvuus antoi voroille mahdollisuuden esiintyä Google.comin muiden käyttäjien nimillä.

MySpace, 2005: Samy-nimeä kantanut xss-mato levisi MySpaceen luodusta profiilisivusta toiseen kulovalkean tavoin. Virus levisi 20 tunnin aikana yli miljoonalla käyttäjälle.

Lisää Aiheesta

UutinenOlemattomien verkkosivujen valjastaminen rahasammoiksi aiheuttaa suuren uhan (21.4.2008 18:26)

UutinenTietokone.fi ohjasi haittaohjelmien luo (4.4.2008 15:49)

UutinenMatti Nikin lapsipornolista näkyi poliisi.fi:ssä (31.3.2008 09:53)

UutinenNordea korjasi verkkomaksun haavoittuvuuden (28.3.2008 16:00)

UutinenSammon verkkopankissa yhä monia aukkoja (28.3.2008 08:54)

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Oikotie

Työpaikat

Loput 2331 työpaikkaa Oikotiellä

mainos

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!

Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Nokia TV tulee tänään

Matkapuhelinvalmistaja Nokia tuo tänään perjantaina ladattavaksi Lumia-malleihin videosovelluksen, jolla voi katsoa suomalaisten televisiokanavien netti-tv-palveluja.

25.5. 08:26 Harri Pietarinen Hyvä

Pirate Bayn käyttö onnistuu taas Elisalla

Ilmiantosivusto Pirate Bay on ottanut käyttöönsä uuden ip-osoitteen, jonka avulla sivujen käyttö onnistuu laillisesti Elisa-leirissä, kertoo verkkosivusto Digilelut.

25.5. 09:56 It-viikko Hyvä

Nokian valitsema Windows Phone menetti markkinaosuutta

Googlen Android ja Applen iOS -käyttöjärjestelmät hallitsevat 82 prosenttia älypuhelinmarkkinoita, laskee IDC. Windows Phone -käyttöjärjestelmä menetti markkinaosuutta, vaikka puhelinten myyntimäärä nousi.

25.5. 08:35 It-viikko Hyvä

Uutisotsikot

Uutiset

Espanjan Pastora Soler harjoitteli Euroviisuja varten Bakussa sunnuntaina.

Espanjan euroviisuedustajaa pyydettiin välttämään viisuvoittoa

Applen Cook torjuu 75 miljoonaa dollaria (10:45)
Facebookilta vaihtoehto iPhonen kuvien jakoon (10:29)
Microsoft myymässä uutissivuston (10:28)
Sonysta povataan Applen alihankkijaa (10:00)
Pirate Bayn käyttö onnistuu taas Elisalla (09:56)
Nokian valitsema Windows Phone menetti markkinaosuutta (08:35)
Nokia TV tulee tänään (08:26)
Stonesoft nimitti sotilaan kyberturvallisuusjohtajaksi (24.5.)
Seagate ostaa legopalikkakiintolevyt (24.5.)
Sijoitusyhtiö myönsi: Facebookista tuli miljoonatappiot (24.5.)
EMC julkistaa hurjan määrän tuotteita hybridipilveen (24.5.)
Nokialta uusia luksusmalleja (24.5.)
Yle siirtää Pasilan studiot HD-aikaan (24.5.)
Huhumylly kiihtyy: Microsoft tuo Officen iPadiin (24.5.)
Nokia Worldista tulee pienen piirin tapaaminen (24.5.)
Joka kymmenes saa lähteä HP:lta (24.5.)
Spotifyn kilpailija tulee iPhoneen (24.5.)
Oraclelle tuplatappio Googlea vastaan (23.5.)
Apple ja Samsung vetivät vesiperän (23.5.)
Tv-yhtiöt hymisevät: Ei tullut huutokauppaa (23.5.)
Nestespoil.com ei toimi enää (23.5.)
Aallon Windows Phone -sovelluspajaan tullut satoja hakemuksia (23.5.)
IBM antoi porttikiellon Sirille (23.5.)
Lumian Skype-tuki loppui nopeasti (23.5.)
Tuhansia uhkaa nettisulku – Google rientää apuun (23.5.)
Kodakille paha takaisku: Patentti pätemätön (23.5.)
Facebook-annista sikiää oikeusjuttuja (23.5.)
Kaspersky: Applea odottaa katastrofi (23.5.)
Jättituomio piratismista ei kiinnosta korkeinta oikeutta (23.5.)
Televisio hyppää kokonaan teräväpiirtoon vuonna 2026 (23.5.)

It-viikko

Nokia TV tulee tänään

Markkinointi

Kun työ on koko elämä

Yrittäjä

Poliisi: "Solmu mäkelät" palasivat – rahaa katoaa "taikurimaisesti"

Oma talous

Näin paljon maksaa mökkiremontti

Viikon luetuimmat

Googlen karttamuutos suututti Iranin

Reuters-It-viikko

Huhumylly kiihtyy: Microsoft tuo Officen iPadiin

It-viikko

Lumia 900 vastaan naula: Kumpi voittaa?

Tuomas Linnake

Silmukka kiristyy Googlen ympärillä

Reuters-It-viikko

Nokialta uusia luksusmalleja

It-viikko

Viikon kommentoiduimmat

Huhumylly kiihtyy: Microsoft tuo Officen iPadiin

It-viikko

IPhone jäi kakkoseksi Windows Phonelle Kiinassa

Digitoday

Yle Areena tulee Lumiaan

It-viikko

Googlen karttamuutos suututti Iranin

Reuters-It-viikko

Lumia 900 vastaan naula: Kumpi voittaa?

Tuomas Linnake

Päivä historiassa

25.5.2011

Nokian Windows-puhelimet ahmivat Mangon

Heidi Vaalisto

25.5.2010

Kolmannes kansasta Facebookissa

Perttu Pitkänen

25.5.2009

Näin pyyhit kaiken kännykän muistista

Taloussanomat-Digitoday

25.5.2007

Apple muurasi Mac-softaa

Tuomas Karvonen

25.5.2005

Yhdysvallat pyytää 3000 operaattoria sulkemaan zombiet

Marko Mannila

25.5.2004

Suomen poliisi purkaa laajaa internetin lapsipornovyyhtiä

Tuomas Karvonen

25.5.2003

"Verkkopiratismissa mukana mahdollisesti järjestelmäasiantuntijoita"

Mari Flink

Dilbert – 25.5.2012

Lähetä

Sarjakuvat: 1 2 3 4 5 6 7 8 9 10 ... 30 « »

Yritys	Sanoma News / Taloussanomat
Postiosoite	Taloussanomat PL 45 00089 SANOMA
Käyntiosoite	Töölönlahdenkatu 2, Helsinki
Puhelin	+358 9 1221
Sähköposti	taloussanomat@sanoma.fi

Kustantaja, vastaava päätoimittaja	Tapio Sadeoja
Toimituspäällikkö	Anneli Koistinen
Toimituspäällikkö	Petri Korhonen
Myynti	Verkkomediamyynti +358 40 168 5949