Stigende problemer med Cross Site Scripting (XSS)

I et indlæg tidligere i år skrev jeg om de problemer jeg har set og oplevet med Cross Site Scripting (også bare kaldet XSS) på danske og udenlandske website. Over sommeren kom der så lidt mere fokus på det i flere prominente medier og blogs. I takt med at store websites som mySpace, Google og Paypal blev ramt af Cross Site Scripting angreb blev der skrevet og snakket endnu mere om disse problemer. Så man skulle tro at de fleste efterhånden har hørt om det og fået lukket de Cross Site Scripting huller de har i deres websites. Ik?

Desværre forholder det sig ikke sådan! Jeg ser i dag stort set lige så mange Cross Site Scripting huller, som da jeg tjekkede det i foråret. På sin vis er det blevet værre. For der er langt flere nu, end tidligere, der eksperimenterer med hvad man kan bruge Cross Site Scripting til – ikke mindst i forhold til søgemaskineoptimering. Jeg har set en meget voldsom stigning i den type angreb – hvoraf de fleste, latterligt nok, er udført så amatøragtigt at de ingen gavn har for dem der har gennemført det. Amatørhackere!

Jeg vil ikke i denne blog komme alt for meget ind på hvad man faktisk kan bruge Cross Site Scripting til i forhold til søgemaskineoptimering. Jeg har ikke lyst til at give de forkerte mennesker alt for gode ideer … Dybest set ser jeg også helst at alle Cross Site Scripting huller lukkes. Det er ikke sundt. Det er ikke godt for noget.

Google har, som såvidt jeg kan se den eneste større søgemaskine, forsøgt at gøre noget ved Cross Site Scripting – i hvert fald i forhold til de måder det “misbruges” i SEO. De har indført nogle nye filtre som gør det væsentligt sværre, at bruge Google i Cross Site Scripting angreb end det var tidligere. MSN og Yahoo er desværre ikke helt med her. De har tilsyneladende intet gjort for at dæmme op for dette voksende problem. Endnu. Jeg forudser at Yahoo snart vil følge trop. MSN kan det godt vare lidt længere med – de har så meget andet at se til lige nu 🙂

Endnu en gang ville jeg ønske at jeg kunne afsløre nogle af de mange danske og udenlandske websites som er piv-åbne for Cross Site Scripting angreb, men som jeg fortalte i min første artikel om XSS, har jeg ikke mulighed for at kontakte dem alle, og derfor synes jeg ikke det er rimeligt at udstille dem her. Jeg er ikke ude på at hænge staklerne ud – min mission er at få folk til at forbedre deres applikationer.

Jeg kan dog, i lighed med sidst, konstatere at det fortsat er en bred vifte af websites, som er åbne for Cross Site Scripting angreb. Offentlige virksomheder, institutioner, eHandels sites og store virksomheder. Man finder åbne sites alle vegne. Høj til lav, stor og lille. Der er naturligvis også masser af websites som er fint beskyttet – eller som jeg bare er for dum til at finde hullerne i (hvilket bestemt også er en mulighed), men der er for mange som er helt ubeskyttet mod XSS. Det er fortsat langt fra godt nok. Langt fra!

Problemerne med Cross Site Scripting strækker sig som sagt langt ud over de små julelege kreative SEO’ere kan finde på. De fleste af disse mange huller kan bruges til meget værre ting af meget mere alvorlig karakter. Cross Site Scripting er et alvorligt sikkerhedsmæssigt problem.

Så, jeg vil afslutte igen med at spørge: har du styr på jeres website(s) og online applikationer? Er du helt sikker på at der ikke er Cross Site Scripting huller? Sikker? Det bør du være!

Hvis du har spørgsmål til Cross Site Scripting så smid en kommentar nedenfor …