Taloussanomat
Lue uutinen mobiilisivustolla
Sql-injektiot hiiren klikkauksen päässä

Tutkijat lupailevat xss- ja injektiotyökalua suoraan Firefoxiin

26.10.2007 11:12 Kanadalaiset tietoturvatutkijat ovat kehittäneet web-sovellusten injektio- ja xss-haavoittuvuuksien penkomiseen tarkoitetun laajennuksen avoimen lähdekoodin Mozilla Firefox -selaimelle.

Kanadalaisen tietoturvayhtiö Security Compassin tutkijat kehittävät ExploitMe-nimistä tietoturvatyökalupakettia avoimen lähdekoodin Mozilla Firefox-selaimelle.

Firefox-laajennuksena toimiva paketti sisältää työkalut yleisimpien web-sivusto- ja -ohjelmistohaavoittuvuuksien metsästämiseen. Yleensä web-pohjaisia dynaamisia palveluita vaivaavat sivustojen väliset (xss, cross site scripting) aukot ja käyttäjän syötteeseen liittyvät sql-injektiohaavoittuvuudet.

Myös oikeaan hyökkäykseen sopivat työkalut tarjoavat web-kehittäjille helpon keinon penkoa ja parantaa palveluidensa tietoturvaa. Selainlaajennuksen asennuksen jälkeen riittää, kun klikkaa esimerkiksi lomakekentän päällä hiiren toista nappia ja käskyttää laajennuksen kokeilemaan injektiohyökkäystä.

Kanadalaiskehittäjien työkalujen pitäisi tarjota suuri etu verrattuna aiempiin välityspalvelinpohjaisiin xss- ja injektio-ohjelmistoihin, sillä toimiessaan suoraan selaimen sisällä, työkalut pystyvät paljastamaan uusia ohjelmointivirheitä, jotka liittyvät selaimen toimintototeuksiin.

Välityspalvelinpohjaisten työkalujen täytyy pyrkiä matkimaan selainten toimintaa mahdollisimman tarkasti. Esimerkiksi selainten toteutusvirheistä johtuvia xss-haavoittuvuuksia on hyvin hankala löytää välityspalvelinpohjaisilla testereillä.

Selainpohjainen toteutustapa saattaa myös tuoda ongelmia. Ilmeisesti tietoturvatestauksen automatisointia ei voida toteuttaa ExploitMe:n avulla, sillä yksikin javascript-virhe Firefoxissa voi pysäyttää myös laajennusten toiminnan.

Laajennus on tällä hetkellä beta-vaiheessa, eikä sitä tarjoilla vielä ladattavaksi. Sen kehittäjät suunnittelevat julkaisevansa laajennuksen ilmaiseksi ensi kuun Toronton SecTor-tietoturvatapahtumassa, kertoo Dark Reading.

Jutun kirjoitti: Matias Mäki

Matias Mäki

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (2)

Sivut: 1
EdellinenSeuraava

Anonyymi
"Selainpohjainen toteutustapa saattaa myös tuoda ongelmia. Ilmeisesti tietoturvatestauksen automatisointia ei voida toteuttaa ExploitMe:n avulla, sillä yksikin javascript-virhe Firefoxissa voi pysäyttää myös laajennusten toiminnan."

"Moore says other tradeoffs include limitations with how it interacts with other services, such as a central database. "Additionally, automation is difficult when the entire toolkit lives within a browser. A single, unhandled JavaScript alert could stall the tool indefinitely," he says."

Eiköhän tuossa nyt kuitenkin tarkoiteta Javascriptin alert() funktiota, mikä saa aikaan messageboxin ilmaantumisen, mihin käyttäjän pitää painaa nappia että suoritus jatkuisi.

En myöskään ymmärrä miksi suomennoksessa puhutaan laajennuksesta monikossa.

Lisäksi toimitus oli vetänyt omia tulkintojaan väittäessään ettei automatisointia voisi tuon avulla toteuttaa. Sen voi toteuttaa joko ympäristössä missä tuota ongelmaa ei ole, tai sitten wrappaamalla Firefoxin jonkin toisen prosessin hallintaan, joka tarkkailee ilmestyykö tuollaista alert-ikkunaa ja sulkemalla sen jos sellainen ilmestyy.

Kiitokset toimitukselle kuitenkin edes siitä että mainitsivat lähteen, että alkuperäisen tekstin pystyi hakukoneella kaivelemaan.
Anonyymi: huokaaja 26.10.2007 16:28

Anonyymi
Alkuperäinen uutinen:
http://www.darkreading.com/document.asp?doc_id=137259
Anonyymi: linkki 26.10.2007 16:28
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2009

Viisi vuotta sitten

7signal: Haudotuista parhain

27.11.2009 7signalin hyvä putki näyttää jatkuvan. Wlan-verkkojen laadunvarmistaja valittiin vuoden hautomoyritykseksi Espoon Otaniemessä perjantaina.

.