Formularze HTML stanowią zagrożenie?

25 czerwiec 2008

Z raportu Sandro Gauci, z firmy EnableSecurity, na temat zagrożeń przesyłania danych przez formularze HTML wynika, że ten element serwisów internetowych wciąż stanowi poważne zagrożenie.

Twórcy przeglądarek internetowych zwiększyli bezpieczeństwo pracy z formularzami w niewystarczającym stopniu. Firewalle blokują porty wykorzystywane podczas ataków za pośrednictwem aktywnych pól. Jednak hakerzy mogą używać niestandardowych portów do przechwytywania informacji lub przejęcia komputera.

Jak dotąd, najlepsze zabezpieczenia w tym zakresie oferuje Safari i Mozilla Firefox. Większość przeglądarek jest nastawiona na jak najlepsze renderowanie otrzymanego kodu HTML, bez względu na źródło jego pochodzenia. W ostatnich latach poprawiono zabezpieczenia transakcji HTTP klient – serwer. Jednak w ulepszenie połączeń z maszynami bazującymi na protokołach FTP i SMTP włożono znacznie mniej wysiłku.

Przeglądarki nie rozróżniają typów serwerów. Dopiero wejście na FTP lub SMTP powoduje wyświetlenie komunikatu błędu, do którego haker może dołączyć złośliwy kod i przeprowadzić atak typu XXS (cross-site scripting). Takie działania umożliwiają kradzież danych przesyłanych przez formularz lub nawet przejęcie całkowitej kontroli nad komputerem.

Zdaniem Gauciego, twórcy przeglądarek powinni wprowadzić funkcję rozpoznawania różnych typów serwerów, aby nie próbowały one renderować w HTML'u informacji otrzymanych przez FTP lub SMTP.