Sql-injektiot hiiren klikkauksen päässä

Tutkijat lupailevat xss- ja injektiotyökalua suoraan Firefoxiin

26.10.2007 11:12 Kanadalaiset tietoturvatutkijat ovat kehittäneet web-sovellusten injektio- ja xss-haavoittuvuuksien penkomiseen tarkoitetun laajennuksen avoimen lähdekoodin Mozilla Firefox -selaimelle.

Kanadalaisen tietoturvayhtiö Security Compassin tutkijat kehittävät ExploitMe-nimistä tietoturvatyökalupakettia avoimen lähdekoodin Mozilla Firefox-selaimelle.

Suosittele
1 suositus

Kuuntele

Firefox-laajennuksena toimiva paketti sisältää työkalut yleisimpien web-sivusto- ja -ohjelmistohaavoittuvuuksien metsästämiseen. Yleensä web-pohjaisia dynaamisia palveluita vaivaavat sivustojen väliset (xss, cross site scripting) aukot ja käyttäjän syötteeseen liittyvät sql-injektiohaavoittuvuudet.

Myös oikeaan hyökkäykseen sopivat työkalut tarjoavat web-kehittäjille helpon keinon penkoa ja parantaa palveluidensa tietoturvaa. Selainlaajennuksen asennuksen jälkeen riittää, kun klikkaa esimerkiksi lomakekentän päällä hiiren toista nappia ja käskyttää laajennuksen kokeilemaan injektiohyökkäystä.

Kanadalaiskehittäjien työkalujen pitäisi tarjota suuri etu verrattuna aiempiin välityspalvelinpohjaisiin xss- ja injektio-ohjelmistoihin, sillä toimiessaan suoraan selaimen sisällä, työkalut pystyvät paljastamaan uusia ohjelmointivirheitä, jotka liittyvät selaimen toimintototeuksiin.

Välityspalvelinpohjaisten työkalujen täytyy pyrkiä matkimaan selainten toimintaa mahdollisimman tarkasti. Esimerkiksi selainten toteutusvirheistä johtuvia xss-haavoittuvuuksia on hyvin hankala löytää välityspalvelinpohjaisilla testereillä.

Selainpohjainen toteutustapa saattaa myös tuoda ongelmia. Ilmeisesti tietoturvatestauksen automatisointia ei voida toteuttaa ExploitMe:n avulla, sillä yksikin javascript-virhe Firefoxissa voi pysäyttää myös laajennusten toiminnan.

Laajennus on tällä hetkellä beta-vaiheessa, eikä sitä tarjoilla vielä ladattavaksi. Sen kehittäjät suunnittelevat julkaisevansa laajennuksen ilmaiseksi ensi kuun Toronton SecTor-tietoturvatapahtumassa, kertoo Dark Reading.

Matias Mäki
matias.maki@sanoma.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Suosittele
1 suositus

Kuuntele

Aiheeseen liittyviä uutisia

Uudemmat

IBM: Applen tuotteissa eniten haavoittuvuuksia 8.8.2008
Xss-haavoittuvuus avaa oven Facebook-madolle 16.6.2008
Näin xss-aukoilla on hyökätty 31.3.2008
Nordea korjasi verkkomaksun haavoittuvuuden 28.3.2008
"Printterisi on minun" 10.1.2008
Firefoxin tietoturvaongelmat jatkuvat, päivitys tulossa 20.11.2007
Firefoxia korjailtiin tietoturvapäivityksen jäljiltä 5.11.2007

Aiemmat

Poliisi tavoitti 80 000 salasanan levityksestä epäillyn 18.10.2007
Flash Player altistaa Googlen käyttäjät kovan luokan tietovuodoille 27.9.2007
SDP:n sivuilta löytyi tietoturva-aukko 27.9.2007
Krakkeri töhri Microsoftin verkkosivuja 30.6.2007
Hakukoneiden haavoittuvuudet syyniin kesäkuussa 21.5.2007
Digg-fanit töhrivät Netscapen sivut 27.7.2006
Tietomurtajalla on monta tietä 24.6.2005
WWW-postipalveluista löytyi xss-aukko 24.3.2004
Suositusta foorumipaketista löytyi xss-aukko 18.3.2004

Oikotie

Työpaikat

Loput 2493 työpaikkaa Oikotiellä

Kommentit (2)

Sivut: 1

EdellinenSeuraava

Anonyymi

Asiaton viesti

Lainaa

"Selainpohjainen toteutustapa saattaa myös tuoda ongelmia. Ilmeisesti tietoturvatestauksen automatisointia ei voida toteuttaa ExploitMe:n avulla, sillä yksikin javascript-virhe Firefoxissa voi pysäyttää myös laajennusten toiminnan."

"Moore says other tradeoffs include limitations with how it interacts with other services, such as a central database. "Additionally, automation is difficult when the entire toolkit lives within a browser. A single, unhandled JavaScript alert could stall the tool indefinitely," he says."

Eiköhän tuossa nyt kuitenkin tarkoiteta Javascriptin alert() funktiota, mikä saa aikaan messageboxin ilmaantumisen, mihin käyttäjän pitää painaa nappia että suoritus jatkuisi.

En myöskään ymmärrä miksi suomennoksessa puhutaan laajennuksesta monikossa.

Lisäksi toimitus oli vetänyt omia tulkintojaan väittäessään ettei automatisointia voisi tuon avulla toteuttaa. Sen voi toteuttaa joko ympäristössä missä tuota ongelmaa ei ole, tai sitten wrappaamalla Firefoxin jonkin toisen prosessin hallintaan, joka tarkkailee ilmestyykö tuollaista alert-ikkunaa ja sulkemalla sen jos sellainen ilmestyy.

Kiitokset toimitukselle kuitenkin edes siitä että mainitsivat lähteen, että alkuperäisen tekstin pystyi hakukoneella kaivelemaan.

huokaaja 26.10.2007 16:28

Anonyymi

Asiaton viesti

Lainaa

Alkuperäinen uutinen:
http://www.darkreading.com/document.asp?doc_id=137259

linkki 26.10.2007 16:28

Sivut: 1

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.

Lue koko keskusteluetiketti

Bottivarmistus: mitä on viisi ynnä kaksikymmentäkaksi?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.