XSS-aukot verkkopalveluiden riesana

Perttu Tolvanen

Sampo Pankin verkkopankkikaaoksesta alkanut XSS (Cross Site Scripting)-aukkojen metsästys on saanut jo melko lailla näkyvyyttä. Ongelman laajuudesta kertovat esimerkiksi Tietokone-lehden artikkelit: Laiska web-koodaus kostautuu, Xss-aukkoja löytyi kymmeniltä uusilta sivustoilta, Haavoittuvuuden taustat: näin syntyy XSS-aukko, Viestintävirasto patistaa korjaamaan Xss-mokat. Myös CERT-FI aktivoitui ja julkaisi perjantaina oman tiedotteensa.

Mitä Xss-aukon avulla voi ilkeä ihminen tehdä?

“Cross-site-skriptien riski piilee siinä, että esimerkiksi pankin tai verkkokaupan luotettuun sivuston ikkunaan voidaan liittää sisältöä, joka näyttää tulevan samalta sivustolta.” (Lähde: Tietokone-lehti)

Xss-ongelmia voi pitää jonkinlaisena Web 2.0 -aikakauden ongelmavyyhtenä joista todennäköisesti ollaan vasta raapaistu pintaa. Toisaalta kyse ei ole uudesta ongelmasta, kuten Tietokone-lehtikin toteaa:

“Esimerkkejä XSS-haavoittuvuuksista ja niiden hyväksikäytöstä ei ole viime vuosilta vaikea löytää. Googlen ja Myspacen ohella muun muassa Mozilla, Yahoo, GM, CBS, Warner Bros ja the New York Times ovat joutuneet korjailemaan sivustojaan. Vanhakin sivusto muuttuu helposti haavoittuvaksi, kun se päivitetään web 2.0-maailmaan.”

Tämän päivän Keskisuomalainenkin uutisoi pääsivullaan XSS-haavoittuvuuksista. Mikael Korpelan koostama lista suurten suomalaisten XSS-sivustojen haavoittuvuuksista kannattaakin jokaisen web-ammattilaisen vilkaista läpi ettei vain oma tai asiakkaan saitti olisi myös listalla.

Keskisuomalainen 31.3.2008, Mikael Korpela

Korpela toteaa artikkelissa viikonlopun tutkimuksistaan:

“Haavoittuvuuksia löytyi miltei kaikilta sivuilta, joita keksi kokeilla. Vikojen löytämiseen ei kulunut sivuilla minuuttiakaan. “

Mikael Korpelan laatimalla listalla on pitkä lista isoja organisaatioita, kuten Opetusministeriö, Posti, Patentti- ja rekisterihallitus, Hätäkeskuslaitos, Osuuspankki, Pohjola ja Yle. Esimerkiksi Helsingin kaupungin sivuilta löytyi mahdollisuus esittää sivuilla kuvitteellisia työpaikkailmoituksia, joiden kautta voisi kerätä henkilötietoja.

Onko syytä paniikkiin?

Monen ylläpitäjän ja online-tiimin on nyt syytä havahtua ongelmaan, mutta laajamittaiseen paniikkiin ei ainakaan yleisöllä pitäisi olla syytä. Tietokone-lehden artikkelikin päättyy lohduttavaan toteamukseen:

“Ehkä on kuitenkin lohdullista muistaa, että toistaiseksi hyväksikäyttöjä on tilastoitu häviävän pieni määrä vanhoihin kunnon Activex-haavoittuvuuksiin verrattuna.”

Ongelma on todellinen, joten nyt lienee ainakin hyvä tilaisuus tarkistaa oma sivusto isoimpien mokailujen varalta.

Aiheet: ilmiöt

Perttu Tolvanen

Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja omistaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton toimija, joka auttaa asiakkaita suunnittelemaan digitaalisia palveluita, valitsemaan sopivimmat teknologiat ja kilpailuttamaan osaavimmat kumppanit. Pertun yhteystiedot.

Comments are closed.