Listaus XSS-haavoittuvuuksista suomessa

Viimeaikoina on uutisoitu paljon XSS (Cross Site Scripting) -aukoista, joten tsekkailin joutessani läpi suomalaisia uutispalveluita ja muita johtavia/turvallisiksi luultuja nettisivustoja ko. ongelman varalta. Lähes jokaisella sivustolla, jonka testasin, oli XSS-aukkoja. Yleensä viat löytyivät alle minuutissa. Todella harmillisella tolalla isojenkin sivustojen phising-sietokyky. Erityisesti minua huolettaa nuo pankit.

Listaamani esimerkit saattavat olla hieman karkeita, mutta ajan kanssa aukkojen avulla saisi hiottua todella taitavia huijauksia, jotka pahimmillaan aiheuttaisivat asiakkaille rahanmenetyksiä. Aikkoja löytyi myös Osuuspankin ja Aktia-pankin nettisivuilta, jotka luokittelisin vakavimmiksi.

XSS-haavoittuvuutta voi hyödyntyää rikollisesti muotoilemalla sellaisen sähköpostin, että käyttäjä klikkaa viestissä olevaa linkkiä ja antaa jotain tärkeää informaatiota sivustolla joka linkistä aukeaa. Yleensä käyttäjätunnuksia ja tunnuslukuja sivustolle, jolla käsitellään rahaa. Lisää haavoittuvuudesta voi lukea esim. Wikipediasta tai Tietokone-lehden blogista.

Testailut olen tehnyt vain Opera-selaimella, joten jotkin XSS-aukot saattavat pikkusäätöjen vuoksi jäädä toimimatta muilla selaimilla. Ne ovat kuitenkin toimivia eivätkä vaatisi paljoa säätöä toimiakseen hyvin.

Materiaalit (tekstit ja kuvat) ovat vapaasti lehdistön ja bloggaajien käytettävissä.

Olen informoinut jokaista sivuston ylläpitäjää. Testataksesi haavoittuvuutta, klikkaa sivuston nimeä tai lue tarkemmat ohjeet/vian kuvaus.

Lista

Korjaamatta

1. Sampopankki (joukkolainat.fi korjaamatta)
   Sammon parjatusta verkkopankista löytyi jälleen tietoturva-aukko (19.4.). Aukon kautta on mahdollista suorittaa ns. phising-hyökkäyksiä. Esimerkeissä kirjoitan sivun päälle omaa sisältöäni, mm. youtube-videon.
   
   Toisessa esimerkissä näkyy Nordean sivu sampopankin päällä.
   
   Myös sampopankin palvelut Joukkolainat.fi sekä Rahastot.fi ovat haavoittuvaisia (katso esimerkit linkeistä).
   
   Tästä minulla on kuvakaappaus (TIF, 572 Kb), josta näkyy kuinka osoiterivillä lukee sampopankki.fi
   
   Olen aiemmin löytänyt aukot jo nordea-, osuus-, ja aktia-pankkien sivuilta. Sampopankkia en aiemmin jaksanut tutkia sivuston pätkimisen vuoksi. Nyt kun tsekkasin niin löytyihän sieltäkin moisia.
2. Yle (1/3 aukkoa korjattu)
   Ylen sivuille on mahdollista (joskin hieman pidemmän mutkan kautta kuin muille tällä listalla) syöttää käytännössä mitä tahansa haittakoodia. Ylen keskustelualueella on enemmänkin XSS-aukkoja - oikeastaan koko softa pitäisi vaihtaa jos haluavat nuo korjata. (esim 1, esim 2). Ensimmäinen esimerkki aukaisee poliisi.fi-sivuston Ylen sivun päälle ja jälkimmäinen näyttää vain varoituksen.
3. Hätäkeskuslaitos
   Hätäkeskuksen sivuille voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston ko. sivun päälle.
4. Kuopion yliopisto
   Haavoittuvuuden avulla Kuopion yliopiston sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki kertoo haavoittuvuudesta virheilmoituksena.
5. Telkku.com
   Telkku.com on todella reikäinen ja sisältää vaarallisenkin XSS-aukon. Syötteitä ainoastakaan sivuston lomakkeesta ei tarkisteta ja sivuston URL kopioidaan sellaisenaan tarkistamatta sivuston lähdekoodiin - useita kertoja. Esimerkki lataa poliisi.fi-sivun.
   
   Sivustolle on myös mahdollista tallentaa pysyvästi haittakoodia muiden surffailijoiden nähtäväksi - tämä ei siis vaadi minkäänlaista linkin lähettämistä tms. hyökkääjältä, vain sen että telkku.comissa surffailija sattuu eksymään vahingoitetulle sivulle. Esimerkki varoittaa haavoittuvuudesta (muokattu telkku.comin käyttäjäsivu).
6. Sonera
   Soneran salatun yhteyden päässä oleva sivu antaa kirjoittaa laajakaistan tilauslomakkeeseen mitä tahansa haittakoodia. Esimerkki kirjoittaa pienen jekkuboxin sivun ylälaitaan.
   
   Aukko on siitä vaarallinen, että sivuston kautta käsitellään rahaa ja tarkkoja henkilötietoja.
7. Helsingin kaupunki (1/2 korjattu - wlan-aukko jäljellä))
   Helsingin rekrypalveluiden sivuilta vuotaa sivuille läpi käytännössä mitä tahansa haittakoodia. Tämän avulla voi tekaista esim. valheellisia työpaikkailmoituksia, tai sellaisia paikkoja johon ihmiset sitten jättävät lomalleella henkilötietojaan. Toinen aukko on WLAN-tukiasemien hakukartalla. Esimerkit latailevat taas tuttua poliisi.fi-sivua.
8. Aurinkomatkat
   Aurinkomatkojen hakusivu ei tarkista saamiaan arvoja. Esimerkki lataa poliisi.fi-sivun.
9. Villivision CMS Luova Tampere, Enmac
   Tamperelaisen Villivision-yrityksen ohjelmistossa on xss-haavoittuvuuksia, joiden kautta sivuille voidaan kirjoittaa mitä tahansa sisältöä. Tsekkasin kolme eri sivustoa, mutta tiedä miten paljon firmalla sitten on asiakkaita... Esimerkit kirjoittelevat tekstejä sivuille.
10. Nokian renkaat
    Simppeli XSS-aukko tulostaa sivulle tekstin.
11. Score24 (mm. mtv3 käyttää)
    mm. mtv3-nettisivun käyttämä score24-tulospalvelu sisältää aukon, jonka kautta sivuille voi kirjoittaa mitä tahansa lähdekoodia. Esimerkki lataa poliisi.fi-sivun.

Korjattu

Huom. alempana listassa vielä erikseen korjaamattomat post-aukot.

12. Helsingin Sanomat (2/2 aukkoa korjattu)
    Esimerkki aukaisee hs.fi:n päälle poliisi.fi-sivun. Haavoittuvuuden avulla on mahdollista esimerkiksi vakoilla käyttäjän tunnukset. Tunnuksilla voisi esim. tehdä osoitteenmuutoksia, tuote- ja lehtitilauksia.
    
    Aiemmin löytämäni XSS-aukko korjattiin 30.3.
13. Osuuspankki (korjattu)
    Osuuspankin sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Sama ongelma kuin pohjolassa. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Joskus vian ilmeneminen vaatii ensin op.fi-osoitteessa käyntiä, en tiedä miksi.
    
    Tästä minulla on kuvakaappaus (TIF, 680 Kb), josta näkyy kuinka osoiterivillä lukee op.fi, sivuksi on ladattu poliisi.fi ja oikeassa ylänurkassa vieläpä onnistuneesta salatusta yhteydestä kertova lukko.
14. Pohjola (korjattu)
    Pohjolan sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
15. Aktia Säästöpankki (korjattu)
    Aktian sivuilta XSS-aukko löytyi ennätysnopeasti. Heti etusivulla muutamassa sekunnissa! Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
    
    Tästä minulla on kuvakaappaus (TIF, 341 Kb), josta näkyy kuinka osoiterivillä lukee aktia.fi ja sivuksi on ladattu poliisi.fi
16. Tapiola (korjattu)
    Tapiolan sivuilla on lomake, joka antaa kirjoittaa sivupohjaan mitä tahansa haittakoodia. En ole vielä ehtinyt tutkia, miten sitä voisi hyödyntää XSS-aukkona (jotenkin sopivasti POST-tietoja tuonne lähettämällä jokatapauksessa), mutta voitte itse kokeilla kopioimalla vaikkapa yrityksen nimi-kenttään tämän tekstin: "><h1>XSS-aukko<!--
17. Opetusministeriö
    Opetusministeriön sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
18. Opetushallitus
    Esimerkissä Opetushallituksen sivuston päälle aukaistaan poliisi.fi-sivusto. Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä OPH:n sivuston sisälle.
19. Eläke-Fennia
    Eläke-Fennian sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia ilman minkäänlaista tarkistusta. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Sivu voi ladata hetken (löytää paljon osumia hakukentän kautta.)
20. Oikeusministeriö (korjattu)
    Haavoittuvuuden avulla Oikeusministeriön sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
21. STT
    Haavoittuvuuden avulla STT:n sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa STT-sivun päälle poliisi.fi-sivuston.
22. Stakes (korjattu)
    Stakesin (Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskus) sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkki kertoo haavoittuvuudesta varoitusikkunalla ja kirjoittaa sivulle JavaScriptilla tekstin XSS-haavoittuvuudesta. Tämä tapaus on siitä uskomaton, että sivusto jopa viimeistelee ja siistii kirjoittamani simppelin JavaScriptin kertomalla selaimelle että tässä hakusanassa on nyt tosiaankin JavaScriptiä eikä mitä tahansa "scriptiä", kuten minä laiskasti väitän.
23. Otto (automatia) (korjattu)
    Automatian otto-palvelussa voi hakuominaisuuden kautta kirjoittaa sivustolle mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
24. Digitoday (3/3 korjattu)
    Sivuston osoite kopioituu suoraan lähdekoodiin ja sallii minkä tahansa koodin ajamisen. Esimerkki aukaisee poliisi.fi-sivun digitodayn päälle.
    
    Aiemmat bugit on jo korjattu:
    Digitoday käyttää taloussanomien kanssa yhteistä keskustelu-kantaa, joten tämä on identtinen bugi taloussanomien kanssa. Lisäksi Digitodayn keskustelualueen hakukentässä on XSS-aukko.
25. Nebula (korjattu)
    Haavoittuvuuden avulla Nebulan sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivun Nebulan päälle. Myös tilauslomake sisältää post-lomaketiedoilla hyödynnettävän aukon, mutta siitä en ehtinyt rakentamaan demoa. Voitte kokeilla tilausprosessissa edetessä ensimmäiseen eteentulevaan tekstikenttään kirjoittaa vaikkapa: <u>alleviivaus</u>
26. Suomen posti / Itella (2/2 aukkoa korjattu)
    Postin pakettilaskuri salliin koodin kirjoittamisen sivupohjaan. Esimerkki lataa poliisi.fi-sivuston.
    
    Tämä aukko korjattiin 1.4.:
    Postin sivuilla on todella uskomaton hakusysteemi käytössä. Sillä voi sisällyttää mitä tahansa sivuja postin palvelimella ajettavaksi, jolloin tietysti voidaan suorittaa mitä tahansa koodia. Esimerkissä postin sivun päälle ladataan oman palvelimeni kautta poliisin sivut. Kaikki sivustot jotka käyttävät samaa hakukoneta (Ultraseek) ovat haavoittuvaisia. Sama haavoituvuus löytyy tietysti myös Ultraseekin omilta sivuilta.
27. Helsingin karttapalvelu (korjattu)
    Helsingin karttapalvelu antaa kirjoittaa sivuillensa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivun. Lisäys: toimii näköjään vain jos osoitteen kopioi osoitekenttään.
28. Keskisuomalainen (korjattu)
    Haavoittuvuus lehdentilausprosessissa, siinä vaiheessa kun siirrytään maksamaan tilausta, mahdollistaa minkä tahansa koodin kirjoittamisen keskisuomalainen.com-sivustolla. Esimerkki lataa poliisi.fi-sivun.
29. Maikkari (korjattu)
    MTV3-kanavan sivustolla on videopalvelussa aukko, joka sallii javascript-komentojen suorittamisen sivustolla. Esimerkki lataa poliisi.fi-sivuston maikkarin sivun päälle (varoituksen kera).
30. City.fi / Deitti.net (5/5 aukkoa korjattu, kts. post-kohta) (Tämän ensimmäisen löysi Margus Sipria. )
    Deitti.net / City.fi -palveluiden lomake antaa kirjoittaa sivustolla tarkistamatta mitä tahansa koodia. Toinen aukko sijaitsee kerro kaverille -ominaisuudessa. Esimerkit lataavat poliisi.fi-sivun city.fi:n päälle. Tällä olisi mahdollista saada ihmisistä hyvinkin yksityisiä ja arkoja tietoja urkittua.
31. Nelonen.fi (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Nelonen.fi-sivuston sisälle. Esimerkissä lataan ulkoisen HTML-tiedoston (punainen teksti) sivustolle. Tässä esimerkki punaisesta nelosesta.
32. JimTV (korjattu)
    Jim-televisiokanavan sivustolla on videopalvelussa aukko, joka sallii minkä tahansa koodin kirjoittamisen sivustolle. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
33. Plaza (korjattu)
    Plazan sivuille voi mobiili-sivun hakutoiminnon kautta syöttää mitä tahansa haittakoodia. Esimerkki lataa sivun päälle (hieman kömpelösti tosin) poliisi.fi-sivuston.
34. Afterdawn (korjattu)
    Afterdawn, digi-viihdetekniikkaan keskittynyt uutissivusto antaa hakukentässään kirjoittaa sivustolle mitä tahansa koodia. Esimerkki lataa poliisi.fi:n sivun päälle.
35. Taloussanomat (korjattu)
    Taloussanomien uutiskommentoinnin kautta voi sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston. Myös taloussanomien tagi-sivu vuotaa vähän, mutta ihan XSS:ksi asti tästä ei ole.
36. Tietokone.fi (korjattu)
    Tuo aiempi aukko osoittautuikin vähän tehottomaksi, mutta uusi löytyi pienellä vaivalla. Tuo sivuston hakuboxi siis sallii html:n lisäämisen sivustolle, mutta vain keksien kautta, joten XSS-hyökkäyksessä sellaista on hankala hyödyntää. Uusi aukko antaa kirjoittaa mitä tahansa sisältöä sivustolle. Esimerkki lataa poliisi.fi-sivuston tietokone-sivun päälle.
    
    Tietokone-lehden sivustolla on alkeellinen hakukentän "XSS-karkaus". Tämä on siitä ikävä, että sivusto tallentaa haut selaimeen, jolloin bugista ei pääse eroon. Tuon linkin jälkeen www.tietokone.fi siis näyttää aina poliisilta. ;-)
37. Iltalehti (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Iltalehti.fi-sivuston sisälle. Esimerkissä näytetään selaimen varoitus ja kirjoitetaan iso teksti keskelle sivua.
38. Grafia (korjattu)
    Graafisen suunnittelun ammattilaisten järjestö, Grafia ry on XSS-haavoittuvainen. Sivustolle on hakukentän kautta mahdollista kirjoittaa mitä tahansa haittakoodia. Sivusto salaa yhteyden (https). Esimerkki lataa sivun päälle poliisi.fi:n.
39. Blogilista.fi (Sanoma Digital Oy) (korjattu)
    Sivustolle voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston blogilistan päälle, joskin sijoittelu vähän mättää: en ehtinyt käyttää hienosteluun aikaa.
40. Sektori.com (korjattu)
    Salasanamuistutuslomakkeen kautta voidaan sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston sektorin päälle.
41. Patentti- ja rekisterihallitus (korjattu)
    PRH-sivustolla lomakkeelle voi syöttää mitä koodia tahansa "esitäytettäväksi". Esimerkki lataa poliisi.fi-sivuston PRH:n päälle.
42. Pingstate.nu-yhteisösivu (korjattu)
    Sivusto antaa kirjoittaa mitä tahansa haittakoodia. Esimerkissä Punainen laatikko "XSS-haavoituvuus"-tekstillä.
43. Postin kampanja / PHS (korjattu)
    PHS-mainostoimiston toteuttamassa kampanjassa postille on lomakkeenkäsittelyssä puute, joka sallii minkä tahansa koodin kirjoittamisen sivuille. Esimerkissä pieni aprillipila. :-)
44. Verkkokauppa.com (korjattu)
    Verkkokaupan salasanamuistutus-lomake ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. En vielä ehtinyt rakentamaan javascript-formia, joka ensin avaisi tuon sivun, sitten lähettäisi post-käskyn uuden ikkunan oikeaan frameen. Pelkälle framesetille kun post-käskyä ei voi lähettää - eli sikäli aukko on vähän mutkan kautta käytettävissä. Voitte testata sitä kirjoittamalla sähköpostikenttään:
    <h1 style="color:red">Tässä on XSS-aukko</h1>
    
    Tämä on siitä vaarallinen aukko, että crakkeri pystyisi väärentämään esim. jonkin halvan tuotteen sivustolle, sekä myös maksupainikkeet - ja sitä kautta urkkimaan käyttäjältä pankkitunnukset/henkilökohtaisia tietoja/luottokorttitiedot jne.

POST-arvojen käsitelyvirhe -XSS-aukot

Nämä ovat siitä vaarallisia, ettei sivuston osoite näytä laisinkaan epäilyttävältä koodisotkulta. Toisaalta näitä ei voi jakaa ihan normaalisti osoitteina, mutta mitä sitten? HTML:nä sähköpostissa ja nettisivuilla nämä ovat silti vaarallisia. Nämä linkit ovat siis oikeasti lomake-nappeja, mutta tavallinen käyttäjä ei sitä välttämättä huomaa.

Korjaamatta

45. 
    Keskisuomalaisen hakukenttä ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. Esimerkki muodostaa sivulle oranssin laatikon XSS-varoitustekstillä.
46. 
    Aurinkomatkojen kampanjasivu (salatun yhteyden yli vaikuttaa luotettavalta) ei tarkista vastaanottamiaan post-arvoja kirjautumis tai rekisteröitymislomakkeissa. Esimerkki lataa poliisi.fi-sivun.

Korjattu

47. (korjattu)
    Nordean rahanarvonkerroin-laskuri ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivuston päälle poliisi.fi-sivun.
    
    Tästä minulla on kuvakaappaus (TIF, 373 Kb), josta näkyy kuinka osoiterivillä lukee nordea.fi mutta sivuksi on ladattu op.fi.
48. (korjattu)
    Pohjolan vakuutuksenosto -lomakkeen ikäkysely ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivuston päälle poliisi.fi-sivun. Huom! Saattaa olla, että XSS-aukko vaatii toimiakseen pohjolan-istunnon aukaisun, mutta sen saa auki mm. vierailemalla ensin XSS-haavoittuvalla sivulla - linkin klikkaamisen jälkeen palaa tälle sivulle ja kokeile pohjola-linkkiä uudelleen.
    
    Tästä minulla on kuvakaappaus (TIF, 547 Kb), josta näkyy kuinka osoiterivillä lukee pohjola.fi, sivuksi on ladattu poliisi.fi ja oikeassa ylänurkassa lukko kertomassa onnistuneesta salatusta yhteydestä.
49. (korjattu)
    Luottokunnan lounassetelipalvelussa on laskuri, joka ei tarkista vastaanottamiaan POST-arvoja. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivuston päälle poliisi.fi-sivun.
50. (korjattu)
    Huuto.netin rekisteröintilomakkeen osoite-kenttä ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivuston päälle poliisi.fi-sivun. Aukon löysi Margus Sipria.
51. (korjattu)
    IRC-Gallerian rekisteröintilomakkeen sähköposti-kenttä ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivuston päälle poliisi.fi-sivun.
52. ,
    ,
    (korjattu)
    Cityn chattiin kirjautuminen, adressien kommentointi ja rekisteröintlomake antavat kirjoittaa sivustolle mitä tahansa koodia. Esimerkkit lataavat poliisi.fi-sivun esille.

Listaa päivitetty viimeksi 19.4.2008

Kommentoi?

Listasta voi keskustella blogissani osoitteessa:
www.ihminen.org/blogi/2008/03/30/listaus_xss-haavoittuvuuksista_suomessa/

Uutiset & linkit

• 30.3. - Keskisuomalaiseen on tulossa huomenna (ma) juttua tästä aiheesta etusivulle. Toimittaja haastatteli tänään ja kuviakin otettiin.
• 31.3. - Keskustelua aiheesta mm. pingstatessa.
• 31.3. - Osoitteessa xss.dy.fi on lisää listattuna XSS-haavoittuvuuksia suomalaisilla sivustoilla.
• 31.3. - Lisää haavoittuvuuksia osoitteessa piru.dyndns.org/~p/xss.txt.
• 31.3. - Keskisuomalaisen juttu luettavissa lyhennettynä myös ksml.netissä: Suurten yritysten verkkosivut reikäjuustoa. Koko juttu PDF:nä (15mt, klikkaa oikealla napilla linkkiä ja valitse "Save as / Tallenna nimellä")
• 31.3. - Vierityspalkki kirjoitti jutun aiheesta. Jutussa on runsaasti hyviä linkkejä tietolähteisiin.
• 1.4. - Muropaketin keskustelualueella aiheesta, sekä muutamia haavoittuvuuksia listattuna.

Jos löydän haavoittuvuuden?

Ilmoita asiasta sivuston ylläpitäjälle sekä CERT-FI:lle osoitteeseen cert@ficora.fi. Voit myös halutessasi julkaista aukon tällä listalla (ks. yhteystiedot) tai xss.dy.fi-wikissä.

Lisätietoja: