Göteborgs-Posten sårbara för cross site scripting

Igår lanserade Göteborgs-Posten deras nya webb-tv, en lösning de valt att läsa in genom en iframe.

Parametrarna till denna iframe sätts med vanliga get-parametrar, till exempel vilken sida som ska läsas in i denna iframe, dess höjd och bredd. Smart…eller inte.

Varenda person som någonsin sysslat med webbprogammering borde få upp stora röda varningsljus nu. De måste väl kontrollera dessa parametrar man kan skicka in?

Gjorde ett litet oskyldigt test där jag ändrade sökvägen till webbsidan som iframe:n läste in till ”</iframe><bonclick=”alert(‘hej’)”>hej</b>

Ops, nu avslutade jag visst iframe-taggen och kan skicka in vilken skadlig kod jag vill med javascript.

Alla kan göra misstag, även om detta var lite i största laget så jag skickar ett e-postmeddelande till webmaster och påpekar deras brist. Går lite i förhoppning om att åtminstone få ett litet tack.

Nähä, inte ens ett litet tack var man värd. Undra om de ens har tätat deras brister?

Som jag skrev i början så skickade de även med höjd och bredd på deras iframe som visas. Klantig som jag var så skrev jag bara med deras parameter som läser in sökvägen, hade jag vetat att de inte kunde något om säkerhet på deras utvecklingsavdelning hade jag givetvis även skrivit att de även borde kolla övrig indata innan de skriver ut den på deras hemsida 🙂

Har de tur kanske de får gratis medieutrymme precis som Aftonbladet fick när deras sida blev hackad.
All publicitet är ju bra?

Min kollega skriver lite mer tekniskt om detta på hans blogg.

Läs även om säkerhetshålet på hd.se och hur snabbt det löstes.

8 thoughts on “Göteborgs-Posten sårbara för cross site scripting”

  1. Du fick ju svar att webmaster fixat atackerna, sen att webmaster borde ha fixat attackerna är en annan sak 🙂

  2. Hej,

    När du kör en sådan XSS attack, vad betyder det.
    Betyder det att när du kör och jag kommer till sidan, så visas detta även för mig ? matar du in din frame i slutet på URL:en ?
    Har du mer skrivet om dessa brister, jag har för mig att aftonbladet råkade ut för något liknande för ung. ett år sen – stämmer det ?

    Hälsningar, i

  3. Jag tror Aftonbladet drabbades på snarlikt sätt. Sök på Internet och du skall finna 🙂
    I mitt fall påverkas sidan bara för mig, om jag dock skickar länken till dig som innehåller min speciella ”kod” så drabbas dock du.

  4. Samma problem återstår på andra delar av deras webbsidor, så nej de har inte lyssnat ännu.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *