Osiem milionów plików SWF zagrożonych atakiem XSS
Groźną lukę znaleziono w około 8 milionach plików Adobe Flash. Wszystkie witryny, które je hostują są narażone na ataki. Hakerzy mogą wykorzystać serwisy do przesłania użytkownikom złośliwego kodu.
Pliki znajdują się z wielu rodzajach rozbudowanych witryn internetowych. Można je spotkać w sieciowych kasynach, e-bankach, stronach o tematyce sportowej. Podczas ataku wykorzystywana jest metoda XSS (cross-site scripting). Pozwala ona na uruchomienie w przeglądarce złośliwego kodu, a czasami także na kradzież prywatnych danych.
Źródłem luki jest źle napisany fragment kodu ActionScript. Zlicza on kliknięcia w banery reklamowe i zawiera parametry clickTAG lub url. Warto zwrócić uwagę na to, że nie wszystkie serwisy wzbogacone o te elementy są podatne na ataki XSS. Dużą odpornością cechuje się na przykład witryna Citibanku. Hakerzy próbowali złamać jej zabezpieczenia, ale spełzło to na niczym.
Mimo to odkryto wiele serwisów podatnych na wstrzyknięcie złośliwego kodu. Serwis The Register przedstawił ich kilka przykładów:
przykład 1
przykład 2
przykład 3
przykład 4
Administratorzy mieli już do czynienia z takimi problemami. Dwa lata temu ujawniono kilka luk w plikach SWF, które naraziły użytkowników ponad 10 tysięcy serwisów. Likwidacja tego zagrożenia trwała bardzo długo. Webmasterzy musieli zmodyfikować swoje oprogramowanie do tworzenia animacji i przygotować treści od nowa.
Trzeba jednak podkreślić, że odkryta podatność nie jest efektem software'owej luki, lecz raczej złego wykorzystania przez wedeveloperów możliwości Flasha. Samo Adobe dokładnie opisuje, jak powinny być projektowane bannery reklamowe z mechanizmami śledzenia – najwyraźniej nie wszyscy projektanci ten tekst przeczytali.
Źródło: TheRegister.co.uk, Webappsec.org
Warto przeczytać
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Nazwa padła ofiarą szantażystów, inni polscy hosterzy też zagrożeni?
22
Darmowy Internet od Aero2. Jak go zdobyć i jakie są prawdziwe koszta? Instrukcja krok po kroku
11
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
17
Premiera Diablo 3 wzbudziła dyskusję na temat gier, które zawsze chcą być online
19
Nowy problem z Windows 8: bootuje się za szybko
10
Amerykańscy rodzice straszeni „e-narkotykami” dostępnymi w Sieci
21
Anonymous upubliczniają 1,7 GB danych wykradzionych Departamentowi Sprawiedliwości USA
12
Blueseed: libertariańska sztuczna wyspa przyciągnęła już ponad sto startupów z całego świata
8
Rewolucja w Firefoksie, nowa łatka czterokrotnie ograniczyła zużycie pamięci
20
-
Darmowy Internet od Aero2. Jak go zdobyć i jakie są prawdziwe koszta? Instrukcja krok po kroku
11
CVDazzle: makijaż jest w stanie pokonać automatyczne systemy ulicznego monitoringu
3
-
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
17
Ubuntu 12.04 LTS już dostępny: stabilna dystrybucja na następne pięć lat?
28
Zostań webmasterem polskiego rządu, zarobisz na komfortowe życie dla siebie i swojej rodziny
33
Społeczność
boemund_2 Bardzo dobrze. Na dzień dzisiejszy posiadacz VS2010 za prawie 3 tysiaki...-
Fox @Wszerad
W obydwu przypadkach piszesz jednak o filmach przyrodniczych ;)
-
WebDev Uważam, że lepiej pisać aplikacje okienkowe stosując przenośne biblioteki...
-
Daresh A ja na pulpicie nie mam żadnych ikon i nie potrzebuję takich narzędzi :)
-
buahahaha @xyz: jak będzie wybór między MS ograniczającym wybór a Apple...
-
xyz @bartez® : Uważasz, że Apple nie ogranicza programistów? buahahaha
-
anga star za droga ludzie wy myślicie!?Jestem 4 klasistką rodzice się nigdy nie...
- Najdmen.pl: Konta www z wyłączonym licznikiem transferu od IONIC.pl (1)
- 2BE.PL: [Oferta] Promocja jak złoto w 2BE.PL (1)
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |