Kirjoitin viikko sitten XSS-haavoittuvuuksien tämänhetkisestä tilasta:
Yhdeltä ainoalta sivustolta 20:stä löytyi jonkinasteinen aukko, mutta siinäkin tietynasteista syötteentarkastusta oli havaittavissa. Tämän sivuston ylläpitäjää on informoitu asiasta, ja tulen kertomaan sivuston nimenkin tässä yhteydessä sitten, kun kohtuullisena pitämäni viikon korjausmahdollisuusaika on umpeutunut. Mikäli sivusto korjataan ennen sitä, kerron myös siitä.
Viikko kului, eikä vastausta kuulunut, saatika aukkoa korjattu. Tulkoon tässä sitten tietoon, miltä sivustolta haavoittuvuus löytyi: Skanskan hakukenttä ei tarkista saamiaan syötteitä riittävällä tasolla, joten on mahdollista upottaa HTML-elementtejä hakuun ja ne ajetaan sellaisenaan Viimeisimmät haut-listaan. En tässä yhteydessä ala sen suurempia käyttöohjeita antamaan, mutta kovin monimutkaista tuollaisen haavoittuvuuden käyttö ei olisi.
Kovin suuresta riskistä ei voida puhua, mutta kuitenkin XSS-haavoittuvuus on kyseessä. Mielestäni Skanska osoittaa suurta välinpitämättömyyttä asiakkaitaan kohtaan, kun se ei ole ryhtynyt mihinkään toimenpiteisiin aukon korjaamiseksi tai edes minulle vastaamiseksi. Skanskalta vastattiin, kts. postauksen loppu ja kommentit.En kuitenkaan kiellä ketään vetämästä omia johtopäätöksiään vapaasti.
Päivitys 25.11.10: Skanskan verkkopäätoimittaja Sari Perento oikaisi kommenteissa 22.11. sen verran, että he eivät ”suinkaan jättäneet reagoimatta viestii[ni] –”, vaan tekevät töitä aukon korjaamiseksi. Tätä päivitystä kirjoittaessa aukko on yhä hyödynnettävissä.
Hei Riku
kiitoksia palautteestasi! Emme suinkaan jättäneet reagoimatta viestiisi ja pahoittelut ettet saanut vastausta. Laitoin viestiäsi eteenpäin tietohallintoomme heti viestisi saatuani ja sieltä käsin tutkimme parhaillaan asiaa. Palautteesi oli erittäin tärkeää, kiitoksia siitä vielä!
Mukavaa joulun odottelua!
Sari Perento
Skanska Oy
Verkkopäätoimittaja