ΑρχικήsecurityAN0NT0XIC: Εντοπισμός αδυναμίας XSS στο Υπουργείο Υγείας

AN0NT0XIC: Εντοπισμός αδυναμίας XSS στο Υπουργείο Υγείας

moh.gov.gr-min

Αδυναμία XSS εντοπίστηκε από νεαρό Έλληνα χάκερ με το ψευδώνυμο ”AN0NT0XIC”, στην ιστοσελίδα του Υπουργείου Υγείας.

Σύμφωνα με ενημέρωση μέσω ηλεκτρονικής αλληλογραφίας που είχε η συντακτική ομάδα του SecNews από τον “AN0NT0XIC”, εντόπισε την XSS αδυναμία που επιτρέπει εμφάνιση μηνύματος στον browser του επισκέπτη με κατάλληλα τροποποιημένα αιτήματα στην σελίδα αναζήτησης [δείτε εδώ]. Παραθέτουμε το σχετικό Screenshot που υποδυκνείει την ύπαρξη της αδυναμίας, όπως μας το απέστειλε ο νεαρός hacker:

AN0NT0XIC

Ο ακριβής σύνδεσμος ύπαρξης της αδυναμίας είναι εν γνώσει της συντακτικής ομάδας, έχει επιβεβαιωθεί αλλά ΔΕΝ δημοσιοποιείται για προφανείς λόγους.

Σύμφωνα με τα όσα αναφέρει ο νεαρός, ο οποίος έχει ειδικότητα πληροφορικής και ασχολείται ενεργά με Pentesting από μικρή ηλικία, στόχος του είναι να παραμείνει whitehat και να υποδείξει στο ευρύ κοινό ότι υπάρχουν αδυναμίες ακόμα και στα πλέον σημαντικά δίκτυα που πρέπει να επιδιορθωθούν. Επιπλέον αναφέρει στο ηλεκτρονικό του μήνυμα ότι “δεν ανήκει σε κάποια ομάδα, παρ’ όλες τις προτάσεις που έχει δεχτεί να ενταχθεί σε κάποιες από αυτές”.

Σίγουρα είναι εξαιρετικά αισιόδοξο να βλέπουμε νέα παιδιά να ασχολούνται με το pentesting, την έρευνα αδυναμιών και την ασφάλεια δικτύων από πολύ μικρή ηλικία. Βέβαια αξίζει να σημειωθεί ότι όταν η προσπάθεια εντοπισμού αδυναμίων πραγματοποιείται χωρίς την ενημέρωση του ελεγχόμενου πιθανόν να δημιουργηθούν ποινικά προβλήματα, οπότε καλό είναι να αποφεύγεται κάτι τέτοιο. Πρέπει όμως η συντεταγμένη πολιτεία να εκμεταλλευτεί το εξαιρετικά μεγάλο αριθμό νεαρών που ασχολούνται με το συγκεκριμένο κλάδο, για να ενδυναμώσει την ασφάλεια των κρίσιμων υποδομών.

Ως γνωστόν οι αδυναμίες XSS δεν είναι εύκολο να οδηγήσουν άμεσα σε αλλοίωση της ιστοσελίδας ή πρόσβαση στον εξυπηρετητή όμως μπορούν να χρησιμοποιηθούν έμμεσα για αλλοίωση του περιεχομένου σε επίπεδο χρήστη (user-session). Σε ιστοσελίδες που διαθέτουν μεγάλο αριθμό χρηστών όπου το Phishing μπορεί να αποφέρει ανακατεύθυνση επισκεπτών, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.

Το SecNews ευχαριστεί τον «AN0NT0XIC» για την έγκυρη και έγκαιρη ενημέρωση.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS