Jeg vet ikke om du fikk med deg XSS hullet på MPAA som ble funnet i begynnelsen av Mai. Snille pirater brukte muligheten til å utnytte for å bruke websidene demmes til å servere torrentfiler.
Det er ikke bare MPAA som mener at alle som er med på å dele opphavsbeskyttet materiale på nettet er lovbrytere, og burde bli straffet, men også bl.a advokat Peter Danowsky, fra Danowsky & Partners Advokatbyrå, som representerte platebransjen i The Piratebay rettsaken tidligere i vår. ITAvisen skriver om hva Peter egentlig driver med for tiden.
I forbindelse med den nyinnførte “Internettavgiften” i sverige oppsøkte jeg sidene til advokatformaet for å betale min del av gildet, men endte heller opp med å ramle over et lite sikkerhetshull i websidene demmes. Som den snille piraten jeg er, så sendte jeg dem følgende epost;
Date: Tue, 12 May 2009 10:00:50 +0200
From: Kay Sindre Bærulfsen <ber……@gmail.com>
To: lawfirm@danowsky.se
Subject: XSS security problem found on www.danowsky.seHei kjære svensker,
Når jeg i dag var så etter deres kontonummer for å overføre min del av
internettavgiften, i sympati med mine svenske brødre og søsken, fant
jeg tilfeldigvis et lite sikkerhetshull på deres websider. Det er
snakk om et såkalt “XSS” hull[2] som lar andre legge inn (mulig
ondsinnet) kode på deres webside. Dette hullet er ikke ulikt det som
rammet MPAA for litt siden[2]. Hullet kan demonstreres ved å besøke
følgende adresse:http://www.danowsky.se/ba%22%3E%3Ch1%3EXSS!%3C/h1%3E/bar/foo/
Her ser du at jeg har puttet inn teksten “XSS!” flere steder på siden.
Dette er en endring som kun skjer i nettlesern til den som besøker
linken. Ingen ting er endret på serveren.Tenk, det finnes snille pirater også! :D
–
Kay Bærulfsen
[1] http://en.wikipedia.org/wiki/Cross-site_scripting
[2]http://news.softpedia.com/news/The-Pirate-Bay-Torrents-Listing-on-the-MPAA-Website-110649.shtml
I dag, omtrent en uke senere går jeg inn på sidene demmes igjen, og kan konstantere at (iallefall dette) hullet er tettet. (Det faktumet at sidene er ganske brukket ellers skal jeg ikke engang nevne, ups!) Og selvfølgelig eier Danowsky hverken humor eller folkeskikk, så dette har skjedd uten så mye som ett takk. OK, jeg hadde ikke forventet det, men når man tenker på den oppmerksomheten jeg -egentlig- kunne gitt dem, så hadde det i det minste vært på plass med et lite svar :) Men, nå vet man at man ikke trenger å informere dem om mulige problemer i fremtiden.
Vel, når dette er sagt så må jeg jo bare nevne at dette er en liten hobby som jeg har hatt i noen år. Du ville blitt overrasket over hvor mange hullete applikasjoner det er der ute, og hvor lite “utviklere” tenker over dette når de skriver kode selv for noen av landets mest profilerte sider.
Jeg har noen saker i bakhånden, og vil nok nevne de når jeg har fått verifiser at sidene ikke lenger er sårbare.
Oppdatering: VG skriver i dag om slike sårbarheter.
No Comments on “Danowsky & Partners Advokatbyrå”
You can track this conversation through its atom feed.