Viestintävirasto patistaa korjaamaan xss-mokat
0
Xss-haavoittuvuudet tulivat julkisuuteen Sammon nettisivujen kautta. Asiantuntijat lähtivät tutkimaan muitakin sivuja.
Viestintävirasto muistuttaa yrityksiä ja web-palveluiden kehittäjiä siitä, että cross-site script -haavoittuvuuksia vastaan pitäisi suojautua suunnittelemalla sivustot kunnolla.
Viestintäviraston Cert-fi-yksikössä on seurattu tällä viikolla julki tulleita haavoittuvuuksia ja todettu, että xss-haavoittuvuudet näyttävät olevan yleisiä.
"Viime päivinä asia on saanut tavallista enemmän julkisuutta", sanoo tietoturva-asiantuntija Ari Husa Cert-fi:stä Tietokone-lehdelle.
Cert-fi tiedottaa xss-haavoittuvuuksista tänään muistuttaakseen web-kehittäjiä hyvän suunnittelun tärkeydestä.
Ilmiönä cross-site-skriptit ja url:ien mukana annettavat parametrit eivät ole uusi asia, vaan niistä on keskusteltu jo 11 vuotta.
"Haluamme korostaa sitä, että sivustojen suunnittelussa pitäisi kiinnittää huomiota url:ien syötteiden käsittelemiseen. Auditoinnin pitäisi kuulua perusasioihin, ja tärkeää on, että syötteet tarkistetaan", neuvoo Husa.
Olennaista on, että www-osoitteiden eli url:ien parametrien kautta ei pääse esimerkiksi muuttamaan sivujen sisältöä suoraan. Tällaisia tapauksia on tullut julki nyt esimerkiksi eduskunnan ja Sampo Pankin palveluissa.
Cross-site-skriptien riski piilee siinä, että esimerkiksi pankin tai verkkokaupan luotettuun sivuston ikkunaan voidaan liittää sisältöä, joka näyttää tulevan samalta sivustolta.
Todellisuudessa sisältö tulee ulkopuolelta, mutta tätä tavallisen käyttäjän on vaikea havaita. Näin esimerkiksi pankin sivustolle voisi liittää huijarin tunnus- ja salasanaikkunan, tunnuskyselyn tai muita lomakkeita.
