XSS-aukot verkkopalveluiden riesana
Otathan huomioon, että tämä artikkeli on yli 16 vuotta vanha, joten sisältö ja linkit eivät ole välttämättä ihan ajan tasalla. Tuoreena lukemisena samasta kategoriasta: Fi-verkkotunnukset ovat villi länsi jota huijarit hyödyntävät.
Sampo Pankin verkkopankkikaaoksesta alkanut XSS (Cross Site Scripting)-aukkojen metsästys on saanut jo melko lailla näkyvyyttä. Ongelman laajuudesta kertovat esimerkiksi Tietokone-lehden artikkelit: Laiska web-koodaus kostautuu*, Xss-aukkoja löytyi kymmeniltä uusilta sivustoilta*, Haavoittuvuuden taustat: näin syntyy XSS-aukko*, Viestintävirasto patistaa korjaamaan Xss-mokat*. Myös CERT-FI aktivoitui ja julkaisi perjantaina oman tiedotteensa*.
Mitä Xss-aukon avulla voi ilkeä ihminen tehdä?
“Cross-site-skriptien riski piilee siinä, että esimerkiksi pankin tai verkkokaupan luotettuun sivuston ikkunaan voidaan liittää sisältöä, joka näyttää tulevan samalta sivustolta.” (Lähde: Tietokone-lehti*)
Xss-ongelmia voi pitää jonkinlaisena Web 2.0 -aikakauden ongelmavyyhtenä joista todennäköisesti ollaan vasta raapaistu pintaa. Toisaalta kyse ei ole uudesta ongelmasta, kuten Tietokone-lehtikin toteaa:
“Esimerkkejä XSS-haavoittuvuuksista ja niiden hyväksikäytöstä ei ole viime vuosilta vaikea löytää. Googlen ja Myspacen ohella muun muassa Mozilla, Yahoo, GM, CBS, Warner Bros ja the New York Times ovat joutuneet korjailemaan sivustojaan. Vanhakin sivusto muuttuu helposti haavoittuvaksi, kun se päivitetään web 2.0-maailmaan.”
Tämän päivän Keskisuomalainenkin uutisoi pääsivullaan XSS-haavoittuvuuksista*. Mikael Korpelan koostama lista suurten suomalaisten XSS-sivustojen haavoittuvuuksista kannattaakin* jokaisen web-ammattilaisen vilkaista läpi ettei vain oma tai asiakkaan saitti olisi myös listalla.
Korpela toteaa artikkelissa viikonlopun tutkimuksistaan:
“Haavoittuvuuksia löytyi miltei kaikilta sivuilta, joita keksi kokeilla. Vikojen löytämiseen ei kulunut sivuilla minuuttiakaan. “
Mikael Korpelan laatimalla listalla* on pitkä lista isoja organisaatioita, kuten Opetusministeriö, Posti, Patentti- ja rekisterihallitus, Hätäkeskuslaitos, Osuuspankki, Pohjola ja Yle. Esimerkiksi Helsingin kaupungin sivuilta löytyi mahdollisuus esittää sivuilla kuvitteellisia työpaikkailmoituksia, joiden kautta voisi kerätä henkilötietoja.
Onko syytä paniikkiin?
Monen ylläpitäjän ja online-tiimin on nyt syytä havahtua ongelmaan, mutta laajamittaiseen paniikkiin ei ainakaan yleisöllä pitäisi olla syytä. Tietokone-lehden artikkelikin* päättyy lohduttavaan toteamukseen:
“Ehkä on kuitenkin lohdullista muistaa, että toistaiseksi hyväksikäyttöjä on tilastoitu häviävän pieni määrä vanhoihin kunnon Activex-haavoittuvuuksiin verrattuna.”
Ongelma on todellinen, joten nyt lienee ainakin hyvä tilaisuus tarkistaa oma sivusto isoimpien mokailujen varalta.
(*Toim. huom. Linkkejä poistettu toimimattomina.)