XSS-attacken mot Lunarstorm

Communitysajten Lunarstorm har blivit attackerade av en XSS-mask och runt 5000 användare fick sina presentationer raderade. Dessa ersattes istället av en länk till den konkurrerande communityn Hamsterpaj. Skriptet la även in gästboksinlägg på nio utvalda profiler.

Via kommentarerna hos IDG hittade jag även en länk till gate 303 som också skriver om attacken och visar upp själva koden som användes.

Lunarstorm utvecklas i ASP.NET som är relativt känt för att ha bra skydd mot liknande attacker. När man studerar attackkoden ser man att _EVENTTARGET och _VIEWSTATE har modifierats. Kanske har Lunarstorms utvecklare varit oförsiktiga och stängt av validateRequest-attributet, men det kan ju inte jag svara på. Skulle vara intressant att höra mer om exakt hur denna attack kunde möjliggöras, så andra kan ta lärdom.

Ett tips till Lunarstorms utvecklare (och andra) kan vara att ta en koll på Microsofts Anti-Cross Site Scripting Library

Comments

Jag får tacka så mycket för omnämnandet! =) Blev lite småförbluffad när jag läste om attacken morgonen efter natten då det hela spred sig. XSS-attacker borde ju vara det första man skyddar sig mot... Lyckligtvis så var ju inte masken så illasinnad som den skulle kunna ha varit. Jag kan mycket väl tänka mig ett scenario där en sådan här attack används för att lura medlemmar att skicka premium-SMS eller liknande.
Ja såna här saker är blir man alltid förvånad när de händer. Även fast det inte är så konstigt. De flesta säkerhetsexperter är väl överens om att 90% av alla webbplatser har liknande brister. Ja du, det skulle nog kunna ställa till ordentligt med skada om masken hade varit programmerad för att maximera skadorna. När betalningssystem och liknade finns inblandat kan det bli väldigt jobbigt. XSS är inte helt lätt att skydda sig mot heller eftersom det är relativt nytt fenomen. Och det går ofta att variera attackvektorerna för att hitta nya hål och det gör valideraing av data svårt. Men det gäller att lära sig att skydda sig, för vi lär se mycket mer av den här typen av attacker i framtiden. Tack för att du publicerade koden för masken, det var lärorikt att se. Undrar lite hur du fick tag på den? Var du med när det hela hände? Och från vilken extern url låg koden på?
Jag gissar att han hittade den på den här sidan: http://pastebin.com/m439d0918"> http://pastebin.com/m439d0918 Går ett rykte på internet om att det skulle vara den i alla fall.. Vore kul att se ett screen på hur de nya pressentationerna såg ut, någon som har sätt det?
Tack för infon. Intressant sida Pastebin, men inte så lyckat om den används till att starta XSS-attacker från.. Jag har inte sett något screenshot från de drabbade profilerna men läst en del om incidenten på Flashback och Hamsterpaj.