.png)
കേരള കൗമുദി വെബ്സൈറ്റില് സുരക്ഷാ പാളിച്ച
മലയാളത്തിലെ ഒരു മുന്നിര ദിനപത്രവും. ഓണ്ലൈനില് വളരെ സജീവവുമായ കേരള കൗമുദിയുടെ ഔദ്യോഗിക വെബ്സൈറ്റില് സുരക്ഷാ പാളിച്ച കണ്ടെത്തി. വെബ് ആപ്ലിക്കേഷനുകളില് കണ്ടുവരുന്ന 'ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്' (XSS) എന്ന സുരക്ഷാ പാളിച്ചയാണ് കഴിഞ്ഞ ദിവസം കണ്ടെത്തിയത്.
ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗിലൂടെ മറ്റു ഉപയോക്താക്കള് കാണുന്ന വെബ് പേജുകളിലേക്ക് ഹാനികരമായ ക്ലൈന്റ് സൈഡ് സ്ക്രിപ്റ്റുകള് കൂട്ടിച്ചേര്ക്കുവാന് സാധിക്കും. ഇങ്ങനെ സ്ക്രിപ്റ്റ് ഇന്ജെക്റ്റ് ചെയ്തുകൊണ്ട് ഒരു ഹാക്കര്ക്ക് മറ്റൊരു ഉപയോക്താവിന്റെ കുക്കികള്, സെഷന് ടോകണുകള് മുതലായ സുപ്രധാന വിവരങ്ങള് ചോര്ത്തിയെടുക്കാന് സാധിക്കും.മാത്രമല്ല ഈ പഴുതിലൂടെ ഒരു എച് ടി എം എല് പേജിലെ മുഴുവന് വിവരങ്ങളും തിരുത്തി എഴുതാനും അതുവഴി വെബ്സൈറ്റ് ഡിഫേസ് ചെയ്യാനും സാധിക്കും.
'പെര്സിസ്റെന്റ്റ്' അഥവാ stored XSS ആണ് അവിടെ കണ്ടെത്താന് സാധിച്ചത്. ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗിന്റെ കൂടുതല് അപകടകരമായ ഒരു വകഭേദം ആണ് ഇത്. ഇതില് ഒരു ഹാക്കര് ഇന്ജെക്റ്റ് ചെയ്യുന്ന സ്ക്രിപ്റ്റ് സെര്വറില് സൂക്ഷിക്കപ്പെടുകയും, ഒരു ഉപയോക്താവ് വെബ്സൈറ്റ് സന്ദര്ശിക്കുമ്പോള് വെബ്സൈറ്റ് ലോഡ് ചെയ്യപ്പെടുന്നതിനോടൊപ്പം മുന്പ് ഇന്ജെക്റ്റ് ചെയ്ത സ്ക്രിപ്റ്റ് കൂടി ഉപയോക്താവിന്റെ വെബ് ബ്രൌസറില് execute ചെയ്യപ്പെടുകയും ചെയ്യുന്നു.
.jpg)
XyberSec ലെ സൈബര് സെക്യൂരിറ്റി പ്രൊഫഷണല് ആയാ Shameer Km Fykz ആണ് 'ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്' (XSS) കണ്ടത്തിയത്. ഇന്നലെ സൈബര് സെക്ക് ടീം ഈ സുരക്ഷാ പാളിച്ച ശ്രദ്ധയില് പെടുത്തിയതിന്റെ ഫലമായി ഇന്ന് (5-5-2013) വൈകുന്നേരം 5:30 ഓടെ വെബ്സൈറ്റ് അധികൃതര് ഈ പ്രശ്നം പരിഹരിച്ചിട്ടുണ്ട്.
ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗിനെക്കുറിച്ച് കൂടുതല് അറിയാന് ആഗ്രഹിക്കുന്നവര്ക്ക് താഴെ പറയുന്ന ലിങ്കുകള് നോക്കാവുന്നതാണ്.
- ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് - വിക്കിപീഡിയ
- കോഡ് ഇന്ജെക്ഷന് - വിക്കിപീഡിയ
- മലയാളമനോരമ വെബ്സൈറ്റില് മുന്പ് കണ്ടെത്തിയ ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് ഹോള്
0 comments: