Nøkkel i inngangsdør

9 norske nettsteder med sikkerhetsfeil, sensommer 2016

Her er ni forskjellige sikkerhetsproblemer jeg mer eller mindre ramlet over på norske nettsteder i løpet av de siste par månedene. Enkelte av feilene finnes fremdeles da norske bedrifter ser ut til å velge å holde kjeft når de blir informert om sikkerhetsproblemer.

Om du skumleser anbefaler jeg nummer 1, 3, 7, og 9. Utvalget av nettsteder er helt tilfeldig etter mine egne interesser.

  1. i1.no lenkeforkorter, mai 2016, rensket ikke opp spesialtegn. Tillot fri kjørng av SQL-spørringer mot tjener. Feil rettet.

  2. Partikkel.io mikrobetaling, august 2016, åpen lenkevidrekobling. Tillot mulig misbruk av domenenavnet/bedriftens gode navn og rykte. Feil rettet.

  3. Student.HiOA.no studentportal, først i februar og igjen i august 2016, innskudd av vilkårlige script via søkefunksjon. Tillot mulig tyveri av logginndata og snoking i studentdata. Feil rettet.

  4. Kvasir.no nettsøk, først i juni og igjen i august 2016, rensket ikke opp spesialtegn fra søk mot annonsesystemet. Manipulering av annonsekode. Feilen finnes fremdeles; ingen respons fra kontaktadresse.

  5. FilmWeb.no kinoportal, juli 2016, innskudd av vilkårlige script via søkefunksjon. Feilen finnes fremdeles; «oversendt til teknisk».

  6. Arkivverket.no portal for statlige arkiver, august 2016, innskudd av vilkårlige script via søkefunksjon. Feilen finnes fremdeles; ingen respons fra kontaktadresse.

  7. AllergiMat.no allergimatbutikk, juli 2016, innskudd av vilkårlige script via søkefunksjon. Søtt forsøk på å renske opp data fra brukeren med JavaScript på klientsiden. Slikt må gjøres på tjeneren. Feilen finnes fremdeles; ingen respons fra kontaktadresse.

  8. SeDenne.no underholdningsvideoer, august 2016, innskudd av vilkårlige script via søkefunksjon. Feilen finnes fremdeles; ingen respons fra kontaktadresse.

  9. Skeidar.no møbelforretning, først i desember 2015 og igjen i august 2015, innskudd av vilkårlige script via søkefunksjon. Feilen finnes fremdeles; epost til kontaktadresser kan ikke leveres. Første å ringe, men fikk streng beskjed om at de ikke kan hjelpe meg med mine dataproblemer når jeg forsøkte å forklare at jeg ringte for å si i fra om et sikkerhetsproblem på deres nettsider.

Min personlige opplevelse er at norske bedrifter er generelt sett dårlige til å besvare en hver henvendelse fra privatpersoner som ikke direkte omhandler et salg. Dette vises godt i denne listen og kan være en noe uheldig strategi når noen forsøker å informere deg om et sikkerhetsproblem. Jeg tror mye av problemet her er at mange bedrifter ikke har noen som står ansvarlig for nettstedet deres og iallefall ikke for sikkerhet. Nettstedene er ofte er laget av eksterne konsulentselskaper som de ikke nødvendigvis lengre har noen vedlikeholdsavtale med eller forståelse for hvordan fungerer.

De fleste av disse feilene er såkalte script-innskudd, eller «cross-site scripting», gjennom søkefelt. Dette overrasket meg egentlig da disse er både veldig enkle og teste for å sikre seg mot. Kvasir sin sårbarhet minner oss på hvordan man må huske å beskytte mot script-innskudd i alle ledd. Jeg brukte i en periode et tastatur hvor > kunne bli sittende fast når jeg trykket Kontroll-tasten. Det ble liksom en vane og skrive <script>alert(1)</script> inn i søkefelt når jeg likevel var innom for å søke etter noe annet.

Nettstedene med flere datoer ble kontaktet flere ganger per epost etter å ikke ha besvart den første henvendelsen. Jeg tok kun kontakt med Skeidar over telefon, men gikk bort fra dette da det viste seg å være en svart lite effektiv måte å få gjennom poenget.

Kvasir er tilgjengelig over HTTPS, men velger å ikke sende HTTP-trafikken over til HTTPS-siden. I et forsøk på å hjelpe nordmenn med å holde søkene sine litt mer private og beskytte mot mellomperson-angrep har jeg lagt til Kvasir-nettsøk i HTTPS Everywhere-utvidelsen. HTTPS Everywhere er en nettleserutvidelse som automatisk videresender ukryptert HTTP trafikk til den krypterte HTTPS-varianten av den samme nettstedet hvor dette er tilgjengelig, men nettstedet selv ikke tar initiativet til dette.

Kudos til de av nettstedene som tok seg bryet med å rette opp feilene sine. Dere andre kan logge av nettet nå.

Legg igjen en kommentar

Epostadressen din blir ikke publisert. Vær høffelig, følg temaet, og følg rettningslinjene. Kommentarer modereres før publisering.