Tysk sajt listar webbplatser sårbara mot XSS

För ett tag sen visades det sig att Google indexerade en XSS-länk riktad mot FBI's hemsida (skärmdump).

Precis som väntat ökar nu hoten via cross-site-scripting och ha.ckers.org skriver om en tysk sajt som tillhandahåller en topplista över webbplatser öppna mot XSS-attacker.

Listan riktar sig främst till "black-hat"-optimerare som kan använda sårbarheterna för att injicera sin egen kod på url:erna för webbplatserna, och på så sätt kunna lägga in egna länkar och nyckelord. För att spamma sökresultaten alltså. Bredvid varje adress finns PR-värdet utskrivet så de lätt ska kunna välja ut mål som lönar sig.

Listan visar just nu framför allt tyska adresser men även en dansk webbshop finns med. Inga svenska adresser än så länge. Att listan toppas av det kända säkerhetsföretaget Verisign är minst sagt lite oroväckande. Just denna sårbarhet har jag inte haft möjlighet att bekräfta eftersom man måste be om tillgång från sajtägarna.

Många av de andra säkerhetshålen fungerar dock och personerna som driver sajten visar exempel på sårbarheter med reklaminlägg för deras egna tjänster – de erbjuder att förklara hur man stoppar säkerhetsproblemen.

Eftersom XSS-kod är vanlig javascript så är svårigheten att skilja på elak kod från den ordinära. Varje kodbit kan även skrivas med stort antal variationer genom att t ex använda hexdecimala tecken som försvårar identifiering ytterligare.

Så länge sökmotorerna fortsätter att indexera dessa övertagna adresser så kommer problemen att fortsätta. Det är inte heller många sajtägare som ännu har fått upp ögonen för denna typ av attack. Risken att bli avstängd från sökmotorerna är så stor om du har sårbarheter som dessa och en illvillig person börjar att utnyttja dem för att sprida eget innehåll som visas under din domän.

Uppdatering: Jag blev just kontaktad beNI som äger sidan jag skrivit om. På hans begäran har jag gjort en översättning av inlägget till engelska.

Codeodyssey.com: List of web sites vulnerable to XSS

Comments

hey jesper, very nice article, the most important thing I wanted to show with my XSS list (http://mybeNi.rootzilla.de/mybeNi/xss/) is that really every (dynamic) homepage out there has xss flaws and that these can be used for identity theft, data harvesting, phishing, Cross-Site-Scripting worms and large scale server attacks (xss in combination with sql Injection) - there are no limits. -beNi
Testing my comment system..
Thank you for the comment and pointing out the purpose with the list. I think your web site is really interesting and it is great for learning how to protect against XSS. Real live examples.. I noticed that you are are now writing a few posts in your blog in english. That's great I will continue to follow the progress on your findings. It would be really interesting to find out if you been contacted by any companys on your list. And what their responses has been.

alt text

alt text

alt text