Vuonna 2008 kirjoitin blogiini cross-site scripting (XSS-) -haavoittuvuuksista. Nyt, reilun kahden vuoden jälkeen, lienee hyvä hetki tarkastella asian kulkua.
Testasin muutamalla ”pahantahtoisella” hakulauseella 20 verkkosivun hakukenttiä, ja niistä vain yksi oli lievästi XSS-haavoittuvainen. Sivut oli valittu Googlen haulla ja rajattu vain suomalaisiin .fi-verkko-osoitteisiin. Läpi menivät seuraavat verkkosivut:
Se, että käyttämäni hakulauseet eivät saaneet sivuja näyttämään mitään hassua, ei tarkoita sitä, etteivätkö ne voisi olla muuten haavoittuvaisia. En esimerkiksi kokeillut SQL-injektioita lainkaan, enkä lähtenyt jokaista sivuston kenttää kokeilemaan.
Mitä sitten on tehty, että nykyään verkkosivut eivät ole yhtä reikäisiä kuin ennen? Moni sivu näytti vuonna 2008 hakukentässä tai muualla hakusanat, ja tässä oli iskun paikka. Nykyään noita tietoja ei käyttäjälle enää juurikaan näytetä. Ei ehkä käyttäjäystävällisin ratkaisu, mutta tässä suhteessa pomminvarma.
Osa sivuista oli toteuttanut asian ”oikealla” tavalla, ja muutti HTML:n pahat merkit niiden entiteettimuotoihin. Mutta nämä sivut jäivät selkeästi vähemmistöön.
Yhdeltä ainoalta sivustolta 20:stä löytyi jonkinasteinen aukko, mutta siinäkin tietynasteista syötteentarkastusta oli havaittavissa. Tämän sivuston ylläpitäjää on informoitu asiasta, ja tulen kertomaan sivuston nimenkin tässä yhteydessä sitten, kun kohtuullisena pitämäni viikon korjausmahdollisuusaika on umpeutunut. Mikäli sivusto korjataan ennen sitä, kerron myös siitä.
Selkeästi vuoden 2008 mediamylläkkä sai verkkosivujen ylläpitäjät hereille tällaisista aukoista, sillä nykyinen 5 %:n taso on varsin positiivista. Työtä tosin riittää, ja muunkinlaisia haavoittuvuuksia löytyy verkkosivuista joka hetki. Laput silmillä ei siis kannata kulkea nykyäänkään.