XSS-attacken mot Lunarstorm
Communitysajten Lunarstorm har blivit attackerade av en XSS-mask och runt 5000 användare fick sina presentationer raderade. Dessa ersattes istället av en länk till den konkurrerande communityn Hamsterpaj. Skriptet la även in gästboksinlägg på nio utvalda profiler.
Via kommentarerna hos IDG hittade jag även en länk till gate 303 som också skriver om attacken och visar upp själva koden som användes.
Lunarstorm utvecklas i ASP.NET som är relativt känt för att ha bra skydd mot liknande attacker. När man studerar attackkoden ser man att _EVENTTARGET och _VIEWSTATE har modifierats. Kanske har Lunarstorms utvecklare varit oförsiktiga och stängt av validateRequest-attributet, men det kan ju inte jag svara på. Skulle vara intressant att höra mer om exakt hur denna attack kunde möjliggöras, så andra kan ta lärdom.
Ett tips till Lunarstorms utvecklare (och andra) kan vara att ta en koll på Microsofts Anti-Cross Site Scripting Library.
Comments
Kristoffer Forsgren Wrote:
16:e Juli 2007
Jesper Wrote:
16:e Juli 2007
Skottet Wrote:
18:e Juli 2007
Jesper Wrote:
18:e Juli 2007
Tags