Vyzkoušejte si kyberútok anebo kdo si hraje, nezlobí
Útok pomocí XSS - Cross site scripting
Některé stránky prostě nejsou dobře zabezpečené. Útočník může snadno ovlivnit jejich obsah a chování tím, že jim dá příkaz. Jde o to najít na stránkách místo, kam sám uživatel může psát - vstup. Nejčastěji jde o políčko pro vyhledávání či přihlašování.
Pro dobré autory webových stránek je dnes samozřejmostí přidat do kódu takovou ochranu, která uživateli brání zadat jakýkoli příkaz - prostě se ve všech případech, kde uživatel může zadat nějakou hodnotu (tedy na vstupech) kontroluje, jestli uživatel nezkusil místo toho zadat proveditelný kus kódu. A pokud ano, tak uživatelův vstup prostě zahodí nebo mu napíší, že příkazy zadávat nesmí. Na internetu je však spousta nijak nechráněných stránek, které jsou tedy zranitelné například pomocí XSS.
Mohli bychom vám sem prostě napsat nějaké příklady zranitelných stránek - některé z nich možná dokonce používáte, ale nejde beztrestně útočit na stránky. Proto jsme vám vytvořili speciální stránky, na kterých není nic než políčko pro uživatelův vstup. Můžete si na ně zkusit zaútočit a přimět je, aby dělaly, co chcete. Alespoň uvidíte, jak je to snadné. Ukázkové stránky naleznete zde: http://sec.kalabovi.org/
Tak například na vás stránky mohou bafnout. Pokud do políčka zadáte:
<script>alert("Baf")</script>
a dáte enter.
Vyskočit na vás samozřejmě může jakýkoli text, který stránkám předhodíte.
<script>alert("Vas_text")</script>
Mohli jste postřehnout, že adresa stránky v políčku pro URL se změnila (mění se s každým příkazem, který zadáte). Pokud někomu pošlete tuto novou adresu stránky, stránka na něj rovnou při načtení bafne. Zkuste si to a běžte přímo na stránky:
http://sec.kalabovi.org/?data=%3Cscript%3Ealert%28%22Baf%22%29%3C%2Fscript%3E
http://sec.kalabovi.org/?data=%3Cscript%3Ealert%28%22Baf%22%29%3C%2Fscript%3E
Nemusí na vás nic vyskakovat, co třeba změnit podobu stránek? Prostě zkopírujte následující text:
<iframe src="http://fi.muni.cz" style ="width:100%; height:100%; border:0; position:absolute; top:0; left:0"></iframe>Šup a stránky vypadají jako stránky Fakulty informatiky. A pokud v kódu adresu stránek (http://fi.muni.cz) zaměníte za adresu stránek vašeho oblíbeného webu, převléknout se naše cvičné stránky do kabátu vašeho oblíbeného webu.
Opět se změnila i adresa, takže pokud by útočník chtěl například poslat stránky, co vypadají jako stránky FI MU, stačilo by mu poslat adresu
http://sec.kalabovi.org/?data=%3Ciframe+src%3D%22http%3A%2F%2Ffi.muni.cz%22+style+%3D%22width%3A100%25%3B+height%3A100%25%3B+border%3A0%3B+position%3Aabsolute%3B+top%3A0%3B+left%3A0%22%3E%3C%2Fiframe%3E
Pouze URL adresa (velmi dlouhá) prozrazuje, že nejsme na stránkách FI MU. Ovšem i ta by se dala upravit tak, aby vypadala podobně: co třeba "fi.mumi.cz". A tento odkaz by nám pak útočník mohl poslat a chtít po nás, abychom se na stránky přihlásili. A my, v domnění, že se přihlašujeme na stránky FI MU, bychom údaje vyplnili a odeslali a útočník by je tím získal (útok známý jako phishing).
Vidíte, jak snadné je provést "útok" dle návodu? A takových návodů se po internetu válí mnoho, nikoliv však na neškodné hraní si, ale na skutečné útoky. S jejich pomocí mohou útočit it tací, kteří o tom vlastně nic neví.
Samozřejmě záleží jen na útočníkovi, jaký kód si pro stránky vytvoří. Kódy, které jste si mohli zkusit vy, byly vytvořeny pomocí jazyků html a javascript.