Slovenská pošta – zraniteľná webová stránka

Ráno som mame pomáhal zaplatiť SIPO cez internet. Platba prebiehala cez stránky Slovenskej pošty (SP). Na pohľad je stránka vyriešená celkom prehľadne, ale po skúsenosti zo včerajška (Slovenský rozhlas), som si povedal, že za bližší pohľad nič nedám.

Tak som chvíľu prechádzal web SP a hľadal som vyhľadávacie políčka a podobné záležitosti. Hlavné vyhľadávacie políčko vyzeralo byť odolné (nezobrazuje vyhľadávaný text v tele stránky), ale nakoniec som našiel stránku sledovania zásielok, ktorá trpí presne rovnakým neduhom, ako včera stránka Slovenského rozhlasu – vyhľadávaný text sa zakomponuje do výsledkov vyhľadávania bez akejkoľvek kontroly.

Stránka SP je tak rovnako zraniteľná proti útokom typu neperzistentný cross-site scripting – a rovnako je možné s ňou manipulovať podľa ľubovôle, stačí len trochu znalosti HTML a javascriptu.

Zraniteľnosť som nahlásil na zákaznícke centrum (pretože na stránkach SP nie je uvedená e-mailová adresa webmastera ani IT oddelenia), tak uvidíme, akej odpovede sa dočkám.

Na záver článku prikladám screenshoty, ktoré zraniteľnosť demonštrujú.

EDIT (7.2.2011 10:00)

Pred niekoľkými minútami mi prišiel mail v tom zmysle, že za upozornenie na zraniteľnosť ďakujú a podnet postúpili administrátorovi web stránky.

EDIT (7.2.2011 12:30)

Medzera bola odstránená pomocou HTML escapovania.

Reklamy

One thought on “Slovenská pošta – zraniteľná webová stránka

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa / Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa / Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa / Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa / Zmeniť )

Connecting to %s