Er utviklere late, eller vet vi bare ikke bedre?

Skrevet av xqus, 21 December, 2008 - 02:14

Ja, jeg sier vi, siden jeg er en utvikler selv.
Men jeg vet noe som tydligvis ingen andre vet. Ellers så er de for å late til å bry seg.
Jeg snakker om cross site scripting, eller XSS om du vil. Det tok meg ganske nøyaktig 10 minutter å finner tre norske nettsider som er sårbar for XSS angrep, to av de er utviklet av seriøse selskap.

Er dette for utviklere ikke vet hvilke trusler som finnes, at de rett og slett ikke er klar over den viktigste regelen en utvikler har: Ikke stol på noe som kommer fra brukere, det vil si:

  • POST data
  • GET data
  • Cookies
  • Innhold i headers
  • Filer
  • ... andre lignende kilder

Et eksempel: ung.no XSS sårbarhet

Det som ofte glemmes i listen over er cookies og headers, men faktum er at disse er like enkle og manipulere som get data.

Et annet morsomt eksempel:
http://www.filmweb.no/index.jsp

I søkeboksen øverst kan du for eksempel skrive: "><script>alert("XSS");</script>

Så hva tror du er det latskap, eller uvitenhet som gjør så mange norske nettsider sårbare for en slik triviell angrepsmåte?

Tags: 
xss
sikkerhet
utvikling
Kopirett © 2008-2011 Audun Larsen.
Noen rettigheter reservert.
Blogglisten
RSS
Drupal theme by Kiwi Themes.