Ihminen.org

Pieni päivitys tähän viestiin. Muutin tämän sivun osoitetta (ja otsikkoa) sekä liitän tuon XSS-sivun suoraan tähän. Osoite www.ihminen.org/xss/ Toimii edelleen, mutta sama sisältö päivittyy siis automaattisesti myös tähän, joten kommentointi on mahdollista.

Viimeaikoina on uutisoitu paljon XSS (Cross Site Scripting) -aukoista, joten tsekkailin joutessani läpi suomalaisia uutispalveluita ja muita johtavia/turvallisiksi luultuja nettisivustoja ko. ongelman varalta. Lähes jokaisella sivustolla, jonka testasin, oli XSS-aukkoja. Yleensä viat löytyivät alle minuutissa. Todella harmillisella tolalla isojenkin sivustojen phising-sietokyky. Erityisesti minua huolettaa nuo pankit.

Listaamani esimerkit saattavat olla hieman karkeita, mutta ajan kanssa aukkojen avulla saisi hiottua todella taitavia huijauksia, jotka pahimmillaan aiheuttaisivat asiakkaille rahanmenetyksiä. Aikkoja löytyi myös Osuuspankin ja Aktia-pankin nettisivuilta, jotka luokittelisin vakavimmiksi.

XSS-haavoittuvuutta voi hyödyntyää rikollisesti muotoilemalla sellaisen sähköpostin, että käyttäjä klikkaa viestissä olevaa linkkiä ja antaa jotain tärkeää informaatiota sivustolla joka linkistä aukeaa. Yleensä käyttäjätunnuksia ja tunnuslukuja sivustolle, jolla käsitellään rahaa. Lisää haavoittuvuudesta voi lukea esim. Wikipediasta tai Tietokone-lehden blogista.

Testailut olen tehnyt vain Opera-selaimella, joten jotkin XSS-aukot saattavat pikkusäätöjen vuoksi jäädä toimimatta muilla selaimilla. Ne ovat kuitenkin toimivia eivätkä vaatisi paljoa säätöä toimiakseen hyvin.

Materiaalit (tekstit ja kuvat) ovat vapaasti lehdistön ja bloggaajien käytettävissä.

Olen informoinut jokaista sivuston ylläpitäjää. Testataksesi haavoittuvuutta, klikkaa sivuston nimeä tai lue tarkemmat ohjeet/vian kuvaus.

Lista

Korjaamatta

1. Sampopankki (joukkolainat.fi korjaamatta)
   Sammon parjatusta verkkopankista löytyi jälleen tietoturva-aukko (19.4.). Aukon kautta on mahdollista suorittaa ns. phising-hyökkäyksiä. Esimerkeissä kirjoitan sivun päälle omaa sisältöäni, mm. youtube-videon.

   Toisessa esimerkissä näkyy Nordean sivu sampopankin päällä.

   Myös sampopankin palvelut Joukkolainat.fi sekä Rahastot.fi ovat haavoittuvaisia (katso esimerkit linkeistä).

   Tästä minulla on kuvakaappaus (TIF, 572 Kb), josta näkyy kuinka osoiterivillä lukee sampopankki.fi

   Olen aiemmin löytänyt aukot jo nordea-, osuus-, ja aktia-pankkien sivuilta. Sampopankkia en aiemmin jaksanut tutkia sivuston pätkimisen vuoksi. Nyt kun tsekkasin niin löytyihän sieltäkin moisia.

2. esim 1, esim 2). Ensimmäinen esimerkki aukaisee poliisi.fi-sivuston Ylen sivun päälle ja jälkimmäinen näyttää vain varoituksen.
3. Hätäkeskuslaitos
   Hätäkeskuksen sivuille voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston ko. sivun päälle.
4. Kuopion yliopisto
   Haavoittuvuuden avulla Kuopion yliopiston sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki kertoo haavoittuvuudesta virheilmoituksena.
5. Telkku.com
   Telkku.com on todella reikäinen ja sisältää vaarallisenkin XSS-aukon. Syötteitä ainoastakaan sivuston lomakkeesta ei tarkisteta ja sivuston URL kopioidaan sellaisenaan tarkistamatta sivuston lähdekoodiin - useita kertoja. Esimerkki lataa poliisi.fi-sivun.

   Sivustolle on myös mahdollista tallentaa pysyvästi haittakoodia muiden surffailijoiden nähtäväksi - tämä ei siis vaadi minkäänlaista linkin lähettämistä tms. hyökkääjältä, vain sen että telkku.comissa surffailija sattuu eksymään vahingoitetulle sivulle. Esimerkki varoittaa haavoittuvuudesta (muokattu telkku.comin käyttäjäsivu).

6. Sonera
   Soneran salatun yhteyden päässä oleva sivu antaa kirjoittaa laajakaistan tilauslomakkeeseen mitä tahansa haittakoodia. Esimerkki kirjoittaa pienen jekkuboxin sivun ylälaitaan.

   Aukko on siitä vaarallinen, että sivuston kautta käsitellään rahaa ja tarkkoja henkilötietoja.

7. Helsingin kaupunki (1/2 korjattu - wlan-aukko jäljellä))
   Helsingin rekrypalveluiden sivuilta vuotaa sivuille läpi käytännössä mitä tahansa haittakoodia. Tämän avulla voi tekaista esim. valheellisia työpaikkailmoituksia, tai sellaisia paikkoja johon ihmiset sitten jättävät lomalleella henkilötietojaan. Toinen aukko on WLAN-tukiasemien hakukartalla. Esimerkit latailevat taas tuttua poliisi.fi-sivua.

)
Esimerkki aukaisee hs.fi:n päälle poliisi.fi-sivun. Haavoittuvuuden avulla on mahdollista esimerkiksi vakoilla käyttäjän tunnukset. Tunnuksilla voisi esim. tehdä osoitteenmuutoksia, tuote- ja lehtitilauksia.

Aiemmin löytämäni XSS-aukko korjattiin 30.3.

8. Osuuspankki (korjattu)
   Osuuspankin sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Sama ongelma kuin pohjolassa. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Joskus vian ilmeneminen vaatii ensin op.fi-osoitteessa käyntiä, en tiedä miksi.

   Tästä minulla on kuvakaappaus (TIF, 680 Kb), josta näkyy kuinka osoiterivillä lukee op.fi, sivuksi on ladattu poliisi.fi ja oikeassa ylänurkassa vieläpä onnistuneesta salatusta yhteydestä kertova lukko.

9. Pohjola (korjattu)
   Pohjolan sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
10. Aktia Säästöpankki (korjattu)
    Aktian sivuilta XSS-aukko löytyi ennätysnopeasti. Heti etusivulla muutamassa sekunnissa! Esimerkissä ko. sivun päälle on ladattu poliisi.fi.

    Tästä minulla on kuvakaappaus (TIF, 341 Kb), josta näkyy kuinka osoiterivillä lukee aktia.fi ja sivuksi on ladattu poliisi.fi

11. Tapiola (korjattu)
    Tapiolan sivuilla on lomake, joka antaa kirjoittaa sivupohjaan mitä tahansa haittakoodia. En ole vielä ehtinyt tutkia, miten sitä voisi hyödyntää XSS-aukkona (jotenkin sopivasti POST-tietoja tuonne lähettämällä jokatapauksessa), mutta voitte itse kokeilla kopioimalla vaikkapa yrityksen nimi-kenttään tämän tekstin: “><h1>XSS-aukko<!–
12. Opetusministeriö
    Opetusministeriön sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
13. Opetushallitus
    Esimerkissä Opetushallituksen sivuston päälle aukaistaan poliisi.fi-sivusto. Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä OPH:n sivuston sisälle.
14. Eläke-Fennia
    Eläke-Fennian sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia ilman minkäänlaista tarkistusta. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Sivu voi ladata hetken (löytää paljon osumia hakukentän kautta.)
15. Oikeusministeriö (korjattu)
    Haavoittuvuuden avulla Oikeusministeriön sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
16. STT
    Haavoittuvuuden avulla STT:n sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa STT-sivun päälle poliisi.fi-sivuston.
17. Stakes (korjattu)
    Stakesin (Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskus) sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkki kertoo haavoittuvuudesta varoitusikkunalla ja kirjoittaa sivulle JavaScriptilla tekstin XSS-haavoittuvuudesta. Tämä tapaus on siitä uskomaton, että sivusto jopa viimeistelee ja siistii kirjoittamani simppelin JavaScriptin kertomalla selaimelle että tässä hakusanassa on nyt tosiaankin JavaScriptiä eikä mitä tahansa “scriptiä”, kuten minä laiskasti väitän.
18. Otto (automatia) (korjattu)
    Automatian otto-palvelussa voi hakuominaisuuden kautta kirjoittaa sivustolle mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
19. tämä on identtinen bugi taloussanomien kanssa. Lisäksi Digitodayn keskustelualueen hakukentässä on XSS-aukko.
20. Nebula (korjattu)
    Haavoittuvuuden avulla Nebulan sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivun Nebulan päälle. Myös tilauslomake sisältää post-lomaketiedoilla hyödynnettävän aukon, mutta siitä en ehtinyt rakentamaan demoa. Voitte kokeilla tilausprosessissa edetessä ensimmäiseen eteentulevaan tekstikenttään kirjoittaa vaikkapa: <u>alleviivaus</u>
21. Suomen posti / Itella (2/2 aukkoa korjattu)
    Postin pakettilaskuri salliin koodin kirjoittamisen sivupohjaan. Esimerkki lataa poliisi.fi-sivuston.

    Tämä aukko korjattiin 1.4.:
    Postin sivuilla on todella uskomaton hakusysteemi käytössä. Sillä voi sisällyttää mitä tahansa sivuja postin palvelimella ajettavaksi, jolloin tietysti voidaan suorittaa mitä tahansa koodia. Esimerkissä postin sivun päälle ladataan oman palvelimeni kautta poliisin sivut. Kaikki sivustot jotka käyttävät samaa hakukoneta (Ultraseek) ovat haavoittuvaisia. Sama haavoituvuus löytyy tietysti myös Ultraseekin omilta sivuilta.

22. Helsingin karttapalvelu (korjattu)
    Helsingin karttapalvelu antaa kirjoittaa sivuillensa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivun. Lisäys: toimii näköjään vain jos osoitteen kopioi osoitekenttään.
23. Keskisuomalainen (korjattu)
    Haavoittuvuus lehdentilausprosessissa, siinä vaiheessa kun siirrytään maksamaan tilausta, mahdollistaa minkä tahansa koodin kirjoittamisen keskisuomalainen.com-sivustolla. Esimerkki lataa poliisi.fi-sivun.
24. Maikkari (korjattu)
    MTV3-kanavan sivustolla on videopalvelussa aukko, joka sallii javascript-komentojen suorittamisen sivustolla. Esimerkki lataa poliisi.fi-sivuston maikkarin sivun päälle (varoituksen kera).
25. City.fi / Deitti.net (5/5 aukkoa korjattu, kts. post-kohta) (Tämän ensimmäisen löysi Margus Sipria. )
    Deitti.net / City.fi -palveluiden lomake antaa kirjoittaa sivustolla tarkistamatta mitä tahansa koodia. Toinen aukko sijaitsee kerro kaverille -ominaisuudessa. Esimerkit lataavat poliisi.fi-sivun city.fi:n päälle. Tällä olisi mahdollista saada ihmisistä hyvinkin yksityisiä ja arkoja tietoja urkittua.
26. Nelonen.fi (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Nelonen.fi-sivuston sisälle. Esimerkissä lataan ulkoisen HTML-tiedoston (punainen teksti) sivustolle. Tässä esimerkki punaisesta nelosesta.
27. JimTV (korjattu)
    Jim-televisiokanavan sivustolla on videopalvelussa aukko, joka sallii minkä tahansa koodin kirjoittamisen sivustolle. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
28. Plaza (korjattu)
    Plazan sivuille voi mobiili-sivun hakutoiminnon kautta syöttää mitä tahansa haittakoodia. Esimerkki lataa sivun päälle (hieman kömpelösti tosin) poliisi.fi-sivuston.
29. Afterdawn (korjattu)
    Afterdawn, digi-viihdetekniikkaan keskittynyt uutissivusto antaa hakukentässään kirjoittaa sivustolle mitä tahansa koodia. Esimerkki lataa poliisi.fi:n sivun päälle.
30. Taloussanomat (korjattu)
    Taloussanomien uutiskommentoinnin kautta voi sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston. Myös taloussanomien tagi-sivu vuotaa vähän, mutta ihan XSS:ksi asti tästä ei ole.
31. Tietokone.fi (korjattu)
    Tuo aiempi aukko osoittautuikin vähän tehottomaksi, mutta uusi löytyi pienellä vaivalla. Tuo sivuston hakuboxi siis sallii html:n lisäämisen sivustolle, mutta vain keksien kautta, joten XSS-hyökkäyksessä sellaista on hankala hyödyntää. Uusi aukko antaa kirjoittaa mitä tahansa sisältöä sivustolle. Esimerkki lataa poliisi.fi-sivuston tietokone-sivun päälle.

    Tietokone-lehden sivustolla on alkeellinen hakukentän “XSS-karkaus”. Tämä on siitä ikävä, että sivusto tallentaa haut selaimeen, jolloin bugista ei pääse eroon. Tuon linkin jälkeen www.tietokone.fi siis näyttää aina poliisilta. ;-)

32. Iltalehti (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Iltalehti.fi-sivuston sisälle. Esimerkissä näytetään selaimen varoitus ja kirjoitetaan iso teksti keskelle sivua.
33. Grafia (korjattu)
    Graafisen suunnittelun ammattilaisten järjestö, Grafia ry on XSS-haavoittuvainen. Sivustolle on hakukentän kautta mahdollista kirjoittaa mitä tahansa haittakoodia. Sivusto salaa yhteyden (https). Esimerkki lataa sivun päälle poliisi.fi:n.
34. Blogilista.fi (Sanoma Digital Oy) (korjattu)
    Sivustolle voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston blogilistan päälle, joskin sijoittelu vähän mättää: en ehtinyt käyttää hienosteluun aikaa.
35. Sektori.com (korjattu)
    Salasanamuistutuslomakkeen kautta voidaan sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston sektorin päälle.
36. Patentti- ja rekisterihallitus (korjattu)
    PRH-sivustolla lomakkeelle voi syöttää mitä koodia tahansa “esitäytettäväksi”. Esimerkki lataa poliisi.fi-sivuston PRH:n päälle.
37. Pingstate.nu-yhteisösivu (korjattu)
    Sivusto antaa kirjoittaa mitä tahansa haittakoodia. Esimerkissä Punainen laatikko “XSS-haavoituvuus”-tekstillä.
38. Postin kampanja / PHS (korjattu)
    PHS-mainostoimiston toteuttamassa kampanjassa postille on lomakkeenkäsittelyssä puute, joka sallii minkä tahansa koodin kirjoittamisen sivuille. Esimerkissä pieni aprillipila. :-)
39. Verkkokauppa.com (korjattu)
    Verkkokaupan salasanamuistutus-lomake ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. En vielä ehtinyt rakentamaan javascript-formia, joka ensin avaisi tuon sivun, sitten lähettäisi post-käskyn uuden ikkunan oikeaan frameen. Pelkälle framesetille kun post-käskyä ei voi lähettää - eli sikäli aukko on vähän mutkan kautta käytettävissä. Voitte testata sitä kirjoittamalla sähköpostikenttään:
    <h1 style=”color:red”>Tässä on XSS-aukko</h1>

    Tämä on siitä vaarallinen aukko, että crakkeri pystyisi väärentämään esim. jonkin halvan tuotteen sivustolle, sekä myös maksupainikkeet - ja sitä kautta urkkimaan käyttäjältä pankkitunnukset/henkilökohtaisia tietoja/luottokorttitiedot jne.

POST-arvojen käsitelyvirhe -XSS-aukot

Nämä ovat siitä vaarallisia, ettei sivuston osoite näytä laisinkaan epäilyttävältä koodisotkulta. Toisaalta näitä ei voi jakaa ihan normaalisti osoitteina, mutta mitä sitten? HTML:nä sähköpostissa ja nettisivuilla nämä ovat silti vaarallisia. Nämä linkit ovat siis oikeasti lomake-nappeja, mutta tavallinen käyttäjä ei sitä välttämättä huomaa.

40. Lue näistä lisää lista-sivulta, en voinut sisällyttääkään kaikkea koska piti käyttää vähän erikoisempaa -tekniikkaa XSS-aukkojen metsästykseen.

Listaa päivitetty viimeksi 19.4.2008

Uutiset & linkit

• 30.3. - Keskisuomalaiseen on tulossa huomenna (ma) juttua tästä aiheesta etusivulle. Toimittaja haastatteli tänään ja kuviakin otettiin.
• 31.3. - Keskustelua aiheesta mm. pingstatessa.
• 31.3. - Osoitteessa xss.dy.fi on lisää listattuna XSS-haavoittuvuuksia suomalaisilla sivustoilla.
• 31.3. - Lisää haavoittuvuuksia osoitteessa piru.dyndns.org/~p/xss.txt.
• 31.3. - Keskisuomalaisen juttu luettavissa lyhennettynä myös ksml.netissä: Suurten yritysten verkkosivut reikäjuustoa. Koko juttu PDF:nä (15mt, klikkaa oikealla napilla linkkiä ja valitse “Save as / Tallenna nimellä”)
• 31.3. - Vierityspalkki kirjoitti jutun aiheesta. Jutussa on runsaasti hyviä linkkejä tietolähteisiin.
• 1.4. - Muropaketin keskustelualueella aiheesta, sekä muutamia haavoittuvuuksia listattuna.

Jos löydän haavoittuvuuden?

Ilmoita asiasta sivuston ylläpitäjälle sekä CERT-FI:lle osoitteeseen cert@ficora.fi. Voit myös halutessasi julkaista aukon tällä listalla (ks. yhteystiedot) tai xss.dy.fi-wikissä.

Lisätietoja:

Mikael Korpela, Jyväskylä
Graafikko & www-suunnittelija
mikael@ihminen.org
www.ihminen.org
www.ihminen.org/yhteystiedot/ (tarkemmat yhteystiedot)

13.3.2008 esitetyssä Silminnäkijässä 20 vuoden vankeustuomiota istuva Eikka Lehtosaari kertoo, miten Suomessa vankeja oikeasti kohdellaan.

Tarinat paskaisista selleistä eivät juurikaan eroa Oikeutta eläimille -järjestön julkaisemista videoista tuotantoeläinten kohtelusta. Jos tuotantoeläinten kohdalla olikin kyse vain yksittäistapauksista - mitä epäilen, koska lakikaan koko asian osalta ei ole eläinystävällinen - niin miten on asianlaita Lehtosaaren ja kumppaneiden kohdalla?

Lehtosaaresta saa raportaasissa hyvinkin älykkään kuvan, väkivaltaisista teoistaan huolimatta. Miehellä on selkeästi ollut aikaa miettiä ja toisaalta monet väkivallanteot ovat selkeästi olleet seurausta vakavista psyykkisistä ongelmista.

Pari otetta:

Polvella painettiin päätä lattiaan - turvasaappalla. Sitten roikotettiin puoltoista tuntia käsiraudoissa kahlittuna. Alasti. - Jere Lehtinen

Me asuttiin jossain vaiheessa olosuhteissa missä ei pystyny kunnolla hengittämään. Palvelu pelas yhteen suuntaan vaan, eli ruoka tuotiin lautasella kolmesti päivässä ja mitään ei saatu ulos. Eli se kaikki ne jätteet keräänty meidän selliin. Vessanpönttöjä ei vedetty ja niin edelleen. Siellä rupes olee aika kova dunkkis. Lopulta se huipentu siihen että vartija kanto lapiolla sitä paskaa meidän selleihin - heitteli sitä seinille ja me sitten asuttiin niissä tiloissa. Me ei päästy peseytymään yli kahtee kuukauteen, meille ei annettu vaihtovaatteita yli kahteen kuukauteen. Se muu kohtelu noudatteli tätä samaa linjaa.
- Eikka Lehtosaari

Ja niin edelleen: pahoinpidellyt eivät saa lääkärinlausuntojaan, valvontakamerakuvia ei tutkita, kanteluihin ei reagoida… vankiloiden lainvastaiset menetelmät muuttuivat jonkin verran ohjelmanteon aikana.

Reportaasi “Pahan palkka” on nähtävissä Ylen Areenalla.

Minkähän näille nyt oikein mahtaisi?

Voi helkkari kun osaa ihmiset olla kaksinaamaisia. Bjarne Kallis kenraali Gustav Hägglundin säestyksellä hokee Uralin perhosesta, että nyt on ihmisiä loukattu. Eikä Marskin biseksuaalisuus suinkaan Bjarnea tai Gustavia loukkaa (eipä)… kunhan vain mesoavat siitä että veteraaneja on ehdointahdoin lähdetty häpäisemään. Eivät vaan kehtaa sanoa mitä oikeasti ajattelevat seksuaalisista vähemmistöistä.

Täytyy kyllä todeta Katariina Lillqvistin olevan nero. Sadulla sisällissodan haavoista hän onnistuukin löytämään Suomalaisista yllättävän vahvan ja edelleenkin yleisen homokammon.

No, mitäpä minä höpisen. Katsokaa leffa ja A-talk niin voitte itse tehdä päätelmänne keskustelusta. Ohjaaja Katariina Lillqvist, kenraali Gustav Hägglund ja poliitikot Minna Sirnö ja Bjarne Kallis - A-talk väittelee Marski-animaatiosta. (Ohjelmassa myös klippejä leffasta, nimenomaan Ne kohtaukset)