Osiem milionów plików SWF zagrożonych atakiem XSS
Groźną lukę znaleziono w około 8 milionach plików Adobe Flash. Wszystkie witryny, które je hostują są narażone na ataki. Hakerzy mogą wykorzystać serwisy do przesłania użytkownikom złośliwego kodu.
Pliki znajdują się z wielu rodzajach rozbudowanych witryn internetowych. Można je spotkać w sieciowych kasynach, e-bankach, stronach o tematyce sportowej. Podczas ataku wykorzystywana jest metoda XSS (cross-site scripting). Pozwala ona na uruchomienie w przeglądarce złośliwego kodu, a czasami także na kradzież prywatnych danych.
Źródłem luki jest źle napisany fragment kodu ActionScript. Zlicza on kliknięcia w banery reklamowe i zawiera parametry clickTAG lub url. Warto zwrócić uwagę na to, że nie wszystkie serwisy wzbogacone o te elementy są podatne na ataki XSS. Dużą odpornością cechuje się na przykład witryna Citibanku. Hakerzy próbowali złamać jej zabezpieczenia, ale spełzło to na niczym.
Mimo to odkryto wiele serwisów podatnych na wstrzyknięcie złośliwego kodu. Serwis The Register przedstawił ich kilka przykładów:
przykład 1
przykład 2
przykład 3
przykład 4
Administratorzy mieli już do czynienia z takimi problemami. Dwa lata temu ujawniono kilka luk w plikach SWF, które naraziły użytkowników ponad 10 tysięcy serwisów. Likwidacja tego zagrożenia trwała bardzo długo. Webmasterzy musieli zmodyfikować swoje oprogramowanie do tworzenia animacji i przygotować treści od nowa.
Trzeba jednak podkreślić, że odkryta podatność nie jest efektem software'owej luki, lecz raczej złego wykorzystania przez wedeveloperów możliwości Flasha. Samo Adobe dokładnie opisuje, jak powinny być projektowane bannery reklamowe z mechanizmami śledzenia – najwyraźniej nie wszyscy projektanci ten tekst przeczytali.
Źródło: TheRegister.co.uk, Webappsec.org
Polecamy
Warto przeczytać
Reklama
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Pobierałeś pirackie pliki? Uważaj! Kontrole antypirackie w domach użytkowników to codzienność
32
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
Debata w sprawie ACTA: internauci spodziewali się chyba czegoś innego
14
Wynalazca WWW przed sądem: walczy tam o wolny dostęp do webowych technologii dla każdego
8
PHP 5.3.9 nie pozwoli hakerom zawiesić serwera. Pozwoli za to przejąć nad nim kontrolę
28
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
Internet w EU bez Facebooka i Google? Firmy nie mają wyboru: albo się dostosują, albo…
10
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
![[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?](/files/groups/editors/internet/2011_11/demotywatory-30x22.jpg)
[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?
36
FBI zamknęło Megaupload. Anonimowi dali się sprowokować. Teraz ich akcja uzasadni potrzebę SOPA?
17
-
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
-
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
„Donald matole, twój rząd dopadną kibole” – hakerska elita przyłącza się do walki z ACTA
23
-
Klamka jeszcze nie zapadła. Minister prosi Donalda Tuska, by wstrzymał się z podpisywaniem ACTA
24
Społeczność
WebDev @slawek22
Tak jak ze wszystkim tak i z prawem własności można przesadzić...-
Nie dla ACTA. Nie dla INDECT. Nie dla europejskiego superpaństwa policyjnego. "rejestruje dane statyczne tj. wygląd podpisu, jak i dynamiczne: czas...
-
slawek22 @WebDev:
Te korporacje i "twórcy" starej daty których tak bronisz nie...
-
darekp @eimi, a co za różnica między zdobytym pieniędzmi a nie? Spróbuj zdobyć...
-
Jan "Tablet, na którym można uruchomić prawdziwe Microsoft Office, ładnie...
-
Maciekkkk Strona nie działa!
-
WebDev @eimi®
Zdobyte inaczej niż pieniędzmi, czyli jak? Czy mógłbyś to rozwinąć...
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
- Marek: problem z menu (2)
- Marek: Własne checkboxy w HTML,CSS (1)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |