ΑρχικήsecurityΕντοπίστηκε ευπάθεια XSS στην ιστοσελίδα της NSA

Εντοπίστηκε ευπάθεια XSS στην ιστοσελίδα της NSA

German-Security-Expert-Finds-Vulnerabilities-on-the-NSA-s-Website

Ο ειδικός σε θέματα ασφάλειας, Matthias Ungethüm, από τη Γερμανία, εντόπισε μια cross-site scripting ευπάθεια (XSS) στην επίσημη ιστοσελίδα της Εθνικής Υπηρεσίας Ασφαλείας των ΗΠΑ.

Ο εμπειρογνώμονας δήλωσε σε γερμανικό ραδιοτηλεοπτικό σταθμό ότι εντόπισε την ευπάθεια στην αρχική σελίδα του διαδικτυακού ιστότοπου της NSA, και στη συνέχεια κατάφερε μέσω αυτής να πραγματοποιήσει αλλαγές στην εμφάνιση της σελίδας.

Για να αποδείξει ότι η ευπάθεια μπορεί να αξιοποιηθεί από κακόβουλους χρήστες, ο ερευνητής αντικατέστησε ένα από τα banners του site με κάποιο που έγραφε “εξετάστε την αρχική σας σελίδα” στα γερμανικά.

Οι ευπάθειες XSS μπορούν να αξιοποιηθούν από εγκληματίες του κυβερνοχώρου για την πραγματοποίηση επιθέσεων phishing, παρασύροντας ανυποψίαστους χρήστες σε κακόβουλες ή spam ιστοσελίδες. Ωστόσο, το είδος της συγκεκριμένης ευπάθειας XSS που βρέθηκε από τον Ungethüm, δεν μπορεί να αξιοποιηθεί για την μόνιμη αλλαγή του περιεχομένου των ιστότοπων.

Η αλλοιωμένη έκδοση της ιστοσελίδας είναι ορατή μόνο από χρήστες που κάνουν κλικ σε ένα σύνδεσμο που παρέχεται από τον εισβολέα.

Ενώ η ευπάθεια XSS δεν είναι κρίσιμη, ο εμπειρογνώμονας υποστηρίζει ότι εντόπισε μια ακόμη ευπάθεια SQL Injection στην ιστοσελίδα. Τέτοιου τύπου ευπάθειες είναι συνήθως πιο κρίσιμες, διότι μπορεί να αξιοποιηθούν από εγκληματίες προκειμένου να αποκτήσουν πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στις βάσεις δεδομένων ενός δικτυακού ιστότοπου.

Ο Ungethüm δήλωσε ότι δεν αξιοποίησε το συγκεκριμένο σφάλμα για νομικούς λόγους.

Ο εμπειρογνώμονας ανέφερε τις ευπάθειες στην ΝSA μία εβδομάδα πριν από τη δημοσιοποίησή τους, όμως δεν έλαβε καμία απάντηση. Ωστόσο, μετά την δημόσια αποκάλυψη των τρωτών σημείων, η NSA προχώρησε σε επιδιόρθωσή τους.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS