Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2010 > Toukokuu > Viestintävirastonkin sivuilta löytyi haavoittuvuus

Tietoturva nyt!

28.5.2010

Viestintävirastonkin sivuilta löytyi haavoittuvuus

Viestintävirasto korjasi alkuviikosta verkkosivuiltaan ns. XSS-haavoittuvuuden. Tämän kaltaiset haavoittuvuudet eivät ole erityisen harvinaisia. Tieto haavoittuvuudesta saatiin verkkosivujen haavoittuvuuksia seuraavan sivuston kautta. Viestintäviraston tietoon ei ole tullut, että haavoittuvuutta olisi ehditty käyttää hyväksi.

Viestintäviraston verkkosivujen hakulomakkeesta löytyi viime viikonloppuna XSS- eli cross site scripting -haavoittuvuus. Nimelle ei ole hyvää suomenkielistä vastinetta. Kyse siitä, että hyökkääjä voi houkutella käyttäjän syöttää sivustolle hyökkäystarkoituksiin muokattua sisältöä, joka päätyy käyttäjän selaimen käsiteltäväksi. Tyypillisesti XSS-haavoittuvuuksia hyväksikäytetään käyttäjille jaeltujen muokattujen linkkien välityksellä. Haavoittuvuudet johtuvat yleensä syötteen puutteellisesta tarkastamisesta.

Viestintäviraston sivujen hakusivun lomakkeeseen syötetty hakulauseke sisällytettiin sellaisenaan sivun kommentteihin. Tällöin hyökkääjä saattoi muokata syötteen sellaiseksi, että se päätyi selaimen tulkittavaksi ja sivulla näytettäväksi

Syöttämällä hakulomakkeeseen sisällytettävän sivukoodin...

...saattoi viraston sivuille saada esimerkiksi sisällytettyä haluamansa sivuston.

Usein tämänkaltaisia haavoittuvuuksia käytetään hyväksi siten, että pyritään sisällyttämään sivulle suoritettavaa sisältöä, kuten JavaScript-koodia. Tässä tapauksessa se ei kuitenkaan ollut mahdollista järjestelmän muiden tietoturvaominaisuuksien vuoksi.

XSS-haavoittuvuuksia käytetään myös huijauksissa niin, että sivustolle syötetty koodi muistuttaa vaikkapa sivustolla tavallisesti käytettävää sisäänkirjautumislomaketta. Sivuille voidaan myös lisätä linkkejä, jotka johtavat toisaalla olevaan haitalliseen sisältöön, esimerkiksi haittaohjelmiin.

Tyypillisesti XSS-hyökkäystä käytetään erilaisiin huijauksiin ja haittakoodin levitykseen,

Viestintäviraston sivujen hakujärjestelmä otettiin pois käytöstä heti kun tieto haavoittuvuudesta oli saatu. Sivut olivat muuten käytettävissä, mutta hakuja ei voinut tehdä ennen kuin hakujärjestelmän puutteet oli korjattu. Korjaus saatiin toteutettua ja testattua nopeasti yhteistyössä järjestelmätoimittajan kanssa. Vastaavia haavoittuvuuksia oli korjattu jo ennen järjestelmän käyttöönottoa testijärjestelmään tehtyjen tarkastusten tuloksena.

CERT-FI havaitsi virheen XSS-haavoittuvuuksia seuraavan xssed.com-sivuston kautta. Sivuilla listataan haavoittuvia verkkosivustoja ja sivustojen ylläpitäjät voivat tilata myös sähköpostihälytyksen omia sivustojaan koskevista haavoittuvuuksista.

Lisätietoa

Sivua päivitetty 29.05.2010   Tulostusversio Tulostusversio