XSS-aukot verkkopalveluiden riesana

Artikkeli

Otathan huomioon, että tämä artikkeli on yli 16 vuotta vanha, joten sisältö ja linkit eivät ole välttämättä ihan ajan tasalla. Tuoreena lukemisena samasta kategoriasta: Web-sovellukset saivat Applelta nyrkin naamaan.

Sampo Pankin verkkopankkikaaoksesta alkanut XSS (Cross Site Scripting)-aukkojen metsästys on saanut jo melko lailla näkyvyyttä. Ongelman laajuudesta kertovat esimerkiksi Tietokone-lehden artikkelit: Laiska web-koodaus kostautuu*, Xss-aukkoja löytyi kymmeniltä uusilta sivustoilta*, Haavoittuvuuden taustat: näin syntyy XSS-aukko*, Viestintävirasto patistaa korjaamaan Xss-mokat*. Myös CERT-FI aktivoitui ja julkaisi perjantaina oman tiedotteensa*.

Mitä Xss-aukon avulla voi ilkeä ihminen tehdä?

“Cross-site-skriptien riski piilee siinä, että esimerkiksi pankin tai verkkokaupan luotettuun sivuston ikkunaan voidaan liittää sisältöä, joka näyttää tulevan samalta sivustolta.” (Lähde: Tietokone-lehti*)

Xss-ongelmia voi pitää jonkinlaisena Web 2.0 -aikakauden ongelmavyyhtenä joista todennäköisesti ollaan vasta raapaistu pintaa. Toisaalta kyse ei ole uudesta ongelmasta, kuten Tietokone-lehtikin toteaa:

“Esimerkkejä XSS-haavoittuvuuksista ja niiden hyväksikäytöstä ei ole viime vuosilta vaikea löytää. Googlen ja Myspacen ohella muun muassa Mozilla, Yahoo, GM, CBS, Warner Bros ja the New York Times ovat joutuneet korjailemaan sivustojaan. Vanhakin sivusto muuttuu helposti haavoittuvaksi, kun se päivitetään web 2.0-maailmaan.”

Tämän päivän Keskisuomalainenkin uutisoi pääsivullaan XSS-haavoittuvuuksista*. Mikael Korpelan koostama lista suurten suomalaisten XSS-sivustojen haavoittuvuuksista kannattaakin* jokaisen web-ammattilaisen vilkaista läpi ettei vain oma tai asiakkaan saitti olisi myös listalla.

Keskisuomalainen 31.3.2008, Mikael Korpela

Korpela toteaa artikkelissa viikonlopun tutkimuksistaan:

“Haavoittuvuuksia löytyi miltei kaikilta sivuilta, joita keksi kokeilla. Vikojen löytämiseen ei kulunut sivuilla minuuttiakaan. “

Mikael Korpelan laatimalla listalla* on pitkä lista isoja organisaatioita, kuten Opetusministeriö, Posti, Patentti- ja rekisterihallitus, Hätäkeskuslaitos, Osuuspankki, Pohjola ja Yle. Esimerkiksi Helsingin kaupungin sivuilta löytyi mahdollisuus esittää sivuilla kuvitteellisia työpaikkailmoituksia, joiden kautta voisi kerätä henkilötietoja.

Onko syytä paniikkiin?

Monen ylläpitäjän ja online-tiimin on nyt syytä havahtua ongelmaan, mutta laajamittaiseen paniikkiin ei ainakaan yleisöllä pitäisi olla syytä. Tietokone-lehden artikkelikin* päättyy lohduttavaan toteamukseen:

“Ehkä on kuitenkin lohdullista muistaa, että toistaiseksi hyväksikäyttöjä on tilastoitu häviävän pieni määrä vanhoihin kunnon Activex-haavoittuvuuksiin verrattuna.”

Ongelma on todellinen, joten nyt lienee ainakin hyvä tilaisuus tarkistaa oma sivusto isoimpien mokailujen varalta.

(*Toim. huom. Linkkejä poistettu toimimattomina.)

Perttu Tolvanen

Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.

Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!



Vierityspalkki-blogi

Julkaistu vuodesta 2006. Vierityspalkki on blogi kotimaisen internet-alan trendeistä, teknologioista ja alan toimistoista. Seuraa, niin tiedät miten ja kenen toimesta syntyvät parhaat verkkopalvelut, verkkokaupat ja räätälöidyt web-sovellukset.
Lisätietoa blogista ja sen kävijöistä

  • 1140+ asiantuntija-artikkelia.

    Toimitettua asiasisältöä kattavasti teknologioista ja web-alan ilmiöistä. Vierityspalkki nostaa esiin alan puheenaiheita ja tuoretta tutkimustietoa, osallistuu keskusteluun sekä haastattelee alan asiantuntijoita ja toimistoja.

  • 1300+ digipalvelun referenssicasea.

    Julkaisut-palsta tarjoaa näkyvyyttä kiinnostaville uusille verkkopalveluille ja web-sovelluksille, ja antaa asiakkaille mahdollisuuden arvioida eri toimistojen osaamista.

  • 1000+ aktiivista lukijaa blogin kuukausikirjeellä.

    Kerran kuukaudessa ilmestyvä kuukausikirje koostaa julkaistut artikkelit, uudet julkaisut, avoimet työpaikat ja ajankohtaiset linkkivinkit.

  • 29 kokenutta digitoimistoa

    on päässyt aina ajantasaiselle Toimistot-listalle. Lista on auttanut asiakkaita löytämään kokeneita digitoimistokumppaneita jo usean vuoden ajan. Lista keskittyy WordPress-osaajiin ja räätälöityjen web-sovellusten tekijöihin.

Tilaa kuukausikirje

Kerran kuukaudessa ilmestyvä uutiskirje koostaa artikkelit, julkaisut, työpaikat ja linkkivinkit. Kirjeellä on jo yli 1000 tilaajaa.
Huom. Sähköpostiosoitettasi ei luovuteta eteenpäin, eikä käytetä mihinkään muuhun tarkoitukseen.

Siirry takaisin sivun alkuun