Sådan skal det håndteres.

Vi må lige vinke med hatten over, at knægten ikke lage hacket ud til almindeligt (mis-) brug.

I skrivende stund ser det dog ud til, at Expert har lukket hulltet.

Betyder det at journalisten også har prøvet at exploite experts hjemmeside?

Se næste sætning i artiklen:

"Den unge hacker brugte sit nyfundne sikkerhedshul til at sende kunder, som ville læse anmeldelser, ind til sin egen hjemmeside."

Hjemmesiden var ikke hans egen. Den linkede blot til PasteHTML. Som jeg tvivler på at han ejer.
Ved ikke hvor troværdig artiklen er. Lyder lidt til at der var er blevet skrevet, det som de regner med er sket.

Se kilden til artiklen.... :)

Først: Sådan! God håndtering.

Dernæst:
En XSS-fejl kan da overleves. Især når den kun bruges til at redirecte folk til en anden hjemmeside.

Det samme kan klares med en del Drupal-installationer uden brug af XSS. Drupal anvender:
http://drupalhjemmeside.domæne/?q=redirectside
Og hvis man da er bare lidt kreativ, indser man hurtigt:
http://drupalhjemmeside.domæne/?q=http://google.com
Vil redirecte til google.

(Dog et lille kudos til version2 for at have lukket det hos dem. Mange andre steder er det pivåbent...)

Normalt ville vi melde sådan noget til politiet, for det har jo både kostet penge, tid og bøvl, men vi har valgt at afvente situationen og først tage fat i hans forældre,« udtaler Experts pressechef, Henrik Rivera Hansen

Bøvl? Det tager maks. 30 minutter at fikse, og det inkluderer endda fjernelse af cross-site scriptet fra databasen eller en dynamisk fil (i tilfælde af det bruges), og så "sanitize" user-input på korrekt vis som de burde have taget seriøst fra starten.

Men det er da altid noget de ikke har anmeldt knægten for hacking, som måske kunne have fået en lille bøde for noget ala vandalisme. (Han har jo ikke fået adgang til oplysninger / information som han ikke er berettiget til at se, og han har heller ikke brudt ind på serveren, så det er jo relativt lidt straf han ville kunne få, i forhold til straffeloven i det her tilfælde.)

Fremover opfordrer jeg da knægten til at lade være med at deface hjemmesider da det er uetisk (unethical) og "script kiddie"-agtigt. Men hvis han gerne vil informere hjemmesider om deres sikkerhedshuller er det nok en god idé at tænke lidt mindre i prestige eller penge, og så sende dem anonymt via nye e-mail konti, da Danmark generelt har et problem med fordomme overfor hackere, også dem på den gode side som prøver på at hjælpe.

Hvis han havde berettet en lignende fejl til Facebook eller Google, så havde han hvis fejlen / sikkerhedshullet blev accepteret, fået en dusør i form af et par tusinde kroner måske, og kommet på den "gode hacker liste" over folk som har hjulpet dem. I Danmark? Der bliver man beskyldt for at være ondsindet og hacke virksomhederne, medmindre man har formuleret sig så godt som muligt og slået fast det er for at hjælpe virksomheden, men der er selvfølgelig nogle virksomheder, især IT-sikkerheds virksomheder som tager det ekstremt personligt og som truer med sagsanlæg.

Men hvis knægten læser det her kan han da prøve at begynde krafter med Hatforce, som er crowd-sourced IT-sikkerhed, hvor han godt må finde diverse XSS sårbarheder, mm., men han må selvfølgelig ikke misbruge sikkerhedshullerne og f.eks. "deface" hjemmesiden. (Og ikke nok med det, hvis han finder "gyldige bugs" så får han penge for det, w00t w00t?)

Hej Michael,

Tak for det positive feedback.

Nej, jeg kan heller ikke forstå hvis det skulle tage så lang tid. Ved ikke hvordan det fungere på ASP, men hvis det var PHP, så skulle de jo bare bruge htmlspecialchars() inden de bruger echo på min kommentar.

Og nej, jeg kunne jo ikke se noget privat. Alt der blev gjort, var jo at jeg skrev en lille simpel Javascript kode.

Jeg kunne ligeså godt have stjålet cookies, uden at de ville have lagt mærke til det, i stedet lavede jeg bare en simpel HTML fil, lagde den op på PasteHTML, og brugte window.location til at få brugeren derind.

Men ja. Havde fortalt dem om sikkerhedsproblemet en måned forinden. Den 11. Februar mindes jeg at det var. Men de gjorde ikke noget ved det. Det gjorde de da nu!;)

PS: Nej, mit rigtige navn er ikke Christian Jensen.

XSS er skam en ret alvorlig fejl. Den kan bl.a. bruges til drive by download af exploit kode til fuld overtagelse af uopdaterede klient maskiner.

Tak, men jeg hedder nu Varbæk til efternavn :-) Man kan lave meget mere end at stjæle cookies, det er næsten en "uddateret" måde at bruge XSS på, selvom det stadigvæk virker på de fleste sites, medmindre HttpOnly er sat i cookies. Beef er et eksempel hvor hvad man kan, selvom "custom payloads" man selv har skrevet, kan som regel meget mere, f.eks. det her payload som er skrevet til vBulletin: http://www.exploit-db.com/vbseo-from-xss-to-reverse-php-shell/

Som 88069 også siger, så kan det også bruges til drive-by / browser exploit kits såsom Blackhole, osv., hvor det generelt er mere den brede flade af brugere på hjemmesiden der angribes, end selve administratorerne. (Man kan selvfølgelig også håbe på administratorerne bliver kompromiteret denne vej, men det er langt fra lige så effektivt som et skræddersyet payload som automatisk tilføjer en PHP fil og som laver en "reverse-tcp" connection tilbage til angriberen, som så kan gå videre derfra.)

I tilfælde af at du eller andre skulle være mere interesseret i XSS er der også basis guiden her: http://forum.intern0t.org/offensive-guides-information/4100-beginners-gu... som også ligger på sider såsom xssed.com

Du er selvfølgelig velkommen til at kigge forbi intern0t så længe du bare følger reglerne og ikke diskuterer uetisk / ulovlig hacking.

Ja, absolut, men XSS kræver bare en del ting, før det bliver farligt:
- Et sikkerhedshul på siden (Duh...)
- At brugere selv klikker ind på siden
- At brugeren er attraktiv. Det skal forstås på den måde, at der skal være noget at hente, ved at hacke brugeren. Det værende spændende cookies, upatchet computer eller hvad man nu er til.

Derimod er eksempelvis en SQL injection nemmere at udføre, da den kun kræver et sikkerhedshul på siden. Desuden kan de være svære at spotte, afhængig af hvad der er blevet gjort.

De fleste hjemmesider, har dog oftere XSS problemer end SQL Injection problemer nu til dags. (Der er dog stadigvæk masser af hjemmesider der har SQL Injection problemer, men det ses oftere at det er CSRF/XSRF og XSS der er hovedproblemet.)

Det med hvem der er "targets" siger ofte sig selv: Går man efter administratorerne af siden, eller går man efter dens brugere. Ligemeget hvad, er begge attraktive, og ligemegt hvad, vil administrorer klikke ind på siden, og det vil brugerne også. Ligesom her på Version2.

Det eneste XSS kræver er en smule mere arbejde og snilde, plus lidt cool opfindsomhed til at hente sejren helt hjem, medmindre man altså bare smider en iframe ind til et exploit-kit som blackhole.