Gepubliceerd: Zaterdag 19 mei 2007
Op 1 juni begint de maand van de zoekmachine-bugs, zo heeft een Oekraïense onderzoeker aangekondigd.
Toon volledig artikel
Wat is er nu zo interessant aan XSS-bugs? Het wordt toch pas echt interessant als je informatie zonder tussenkomst van de eigenaar van de website kunt publiceren op die site; zodanig dat deze informatie permanent is?
Voor zover ik weet moet je om een XSS bug toe te kunnen passen een url geven aan iemand waar de "magic"-code aan vast zit. En dan nog, hoe schadelijk kan het voor je bedrijf (in dit geval zoekmachine) zijn?
Wat is er nu zo interessant aan XSS-bugs? Het wordt toch pas echt interessant als je informatie zonder tussenkomst van de eigenaar van de website kunt publiceren op die site; zodanig dat deze informatie permanent is?
Met XSS injecteer je Javascript die uitgevoerd kan worden door iedere gebruiker die de site bezoekt en daarmee kun je dus ook bij de gegevens van eventueel ingelogde gebruikers. Als bijvoorbeeld een financiele instelling reacties van bezoekers toelaat en één van die bezoekers voert in zijn of haar reactie javascript in wat er niet uitgefiltert wordt, dan zal dat stukje javascript uitgevoerd worden in de browser van alle bezoekers die het bericht lezen. Het stukje javascript zou bijvoorbeeld dan financiële informatie of persoonsgegevens naar een bepaalde server kunnen sturen, maar zou ook namens de gebruiker bijvoorbeeld betalingsopdrachten kunnen geven. Alles wat die ingelogde gebruiker op de site kan doen, kan het javascript ook doen. En dit alles zonder tussenkomst van de eigenaar.
Voor een leuk voorbeeld zie blog.outer-cour...-10-14-n81.html en namb.la/popular/tech.html
Voor zover ik weet moet je om een XSS bug toe te kunnen passen een url geven aan iemand waar de "magic"-code aan vast zit. En dan nog, hoe schadelijk kan het voor je bedrijf (in dit geval zoekmachine) zijn?
Dat is dus niet helemaal waar. Je moet ook niet vergeten dat een zoek-machine enorm veel informatie over je heeft en bij veel van die zoekmachines wordt je via cookies automatisch ingelogd. In het geval van Google zijn er zat mensen die hun persoonlijke pagina's, webmail of bijvoorbeeld 'Google Apps for your Domain' gebruiken. Alles wordt via de browser beheerd en dus is er theoretisch het risico dat via XSS je account overgenomen wordt, je website gehacked en ga zo maar door. Ik zeg nadrukkelijk niet dat dit nu bij Google mogelijk is, maar als er XSS problemen zijn, zouden dit mogelijke gevolgen kunnen zijn. Ook al is Google 'slechts' een zoekmachine.
En SETI is nuttig wou je zeggen?? Beetje de ruimte in turen op zoek naar geluidsgolven. En als je er een vind, 300.000 lichtjaar hier vandaan, ga je er dan op vakantie?? Doe dan mee aan de Folding @ Home projecten, da's een heel stuk zinniger.
Je wilt toch niet beweren dat je niet in aliens geloofd? ;p? Overigens, kun je ook nog meehelpen met klimaatvoorspellingen/berekeningen, het modeleren van spreiding van ziekten als malaria, of een van de vele andere distributed computing projecten.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
