9:37
16/1/2017

* TVP od 5 miesięcy nie usunęło XSS-a

Napisał do nas jeden z czytelników, który na początku sierpnia odkrył i zgłosił do TVP błąd typu XSS na ich stronie internetowej. Ponieważ przez 5 miesięcy nie otrzymał żadnej odpowiedzi, błąd postanowił upublicznić.

XSS w TVP

XSS w TVP

Jak pisze nasz czytelnik:

Tyle się mówi o zagrożeniach (Rosjanie), a z drugiej strony ignoruje zgłoszenia luk w domenach telewizji Publicznej. Zagrożenia, które mogą prowadzić do dostępu do dziennikarz i dalej przez ich kontakty do Polityków.

Od siebie dodajmy że możliwość wstrzyknięcia kodu Javascript pozwala atakującemu na:

    • Kradzież danych zawartych na stronie w kontekście sesji użytkownika. Atakujący może pobrać dowolny element struktury DOM i przesłać go do zewnętrznego serwera.

    • Wykonanie kodu w kontekście przeglądarki użytkownika, co może doprowadzić do zainfekowania komputera wirusem (drive-by-download).

    • Manipulowanie wyglądem strony (np. w celu oszukania ofiary – tzw. atak
    phishing wyłudzający dodatkowe dane lub zwykły wandalizm, czyli tzw. atak deface w celu spowodowania strat wizerunkowych).

…i że ptaszki śpiewają, że to nie jedyna podatność.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

26 komentarzy

Dodaj komentarz
  1. Przecież to “wiejska telewizja” czego się od nich spodziewać.

  2. “atak deface w celu spowodowania strat wizerunkowych.” – to im juz chyba nie grozi ;D

  3. Ja to tylko mogę skwitować aforyzmem: “Jacy włodarze, tacy panicze”!

  4. XSS brzmi jak LGBT

    Dlatego w TVP nikt nawet nie odważy się o tym wspomnieć

    • Zrobiłeś mi dzień ;)

  5. i nikt go nie wykorzystał ? Nie możliwe

  6. Tak samo jak nie odważą się wspomnieć o WOŚP :)

  7. Trzeba było napisać, że przez atak XSS nie da się oglądać TVP w niektórych regionach. Zwłaszcza jak ma paść miażdżąca pointa w kierunku opozycji!

    • Nie narzekaj, i tak jest już “Wykonanie kodu w kontekście przeglądarki użytkownika, co może doprowadzić do zainfekowania komputera wirusem (drive-by-download) lub zaatakowania.”, tak jakby strona przekierowująca na dystrybucja.tvp.pl nie mogła tego zrobić xD Ciekawe, kiedy CVE przydzielą.

    • Może, jak każda. Ale pewnie nie byłoby to zamierzonym działaniem.

    • Leżę i nie wstaję. Zrobiłeś mi dzień

    • — Ujmę to tak, to jedynie zagajenie w celu przekazania raportu kompetentnej osobie, najlepiej za godziwe wynagrodzenie. Gdyby rzecz działa się na hackone, wyjechałbym z tego Bounty samochodem i nie byłaby to Dacia.

      https://www.openbugbounty.org/search/?search=tvp.pl&type=host

  8. “Kradzież danych […], w tym danych.”
    “może doprowadzić do zainfekowania komputera […] lub zaatakowania.”

    Kurde, czytajcie czasami przed publikacją, bo nie zawsze wiadomo o co chodzi ;)

  9. Wystarczył artykuł na niebezpieczniku – błąd już spatchowany :)

  10. Paradoksalnie idealnym defacem teraz byłoby doklejenie reklamy WOŚPu :)

  11. A dzięki ROPAT można podesłać zainfekowanego PDFa ;)

    • No ale takimi ignorantami chyba aż nie są :P

  12. Tak się zastanawiam – XXS Stored czy Reflected? z tego co jest napisane oraz linku wynika reflected … przepraszam bardzo poziom zagrożenia raczej niski – jednak oczywiście brak reakcji na zgłoszenie i jak podejrzewam brak wcześniejszych testów penetracyjnych woła o pomstę

  13. Oj tam, zaraz wielkie “halo”, trzeba było nie ujawniać tylko wykorzystać to.

    A tak poważnie, fajnie,że facet chciał pomóc, gorzej się te dupki zachowały.

    Ja też ostatnio znalazłem “vulnerability” na dość popularnym portalu zakupowym (nazwy nie będę wrzucał na TABLICE), ale przynajmniej odpisali mi na maila i naprawili błąd :)

  14. “Tyle się mówi o zagrożeniach (Rosjanie), a z drugiej strony ignoruje zgłoszenia luk”

    To się nazywa podwójna agenturalność ;-)

  15. Wygląda no to, że już naprawione.

  16. Dodajcie info, że naprawione. :)

  17. Hakerzy moga wylaczyc TVPx to bedzie dobra zmiana ;)

  18. jest jeszcze CSRF, ktory jednak nie ma znaczenia skoro jest prosty XSS. moze daloby sie dotrzec do RFI. ale XSS styka, na wiele zastosowan.

  19. Jest XSS jest SQLi – 99% ;) zmieniasz sygnaturke sqlmapa walisz przez platny vpn w chinach nie tora bo mogą odrzucić i klepiesz bazę niewinnych userów ;) ptaszki ćwierkają, że gdzie sqli tam i dostęp do serwera będzie Ci szybko dany

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: