Poniedziałek... nie wiem, co jest z tymi poniedziałkami, ale strasznie demotywująco wpływa na mnie sama nazwa tego dnia tygodnia... ale do rzeczy. Poniedziałek (6 lipca) wszedłem sobie na stronę jednej z regionalnych gazet, by zobaczyć co w trawie piszczy po pięknym letnim weekendzie. Pech chciał, że wpisałem adres strony ręcznie... a że omylna ze mnie osoba wyszło tak:

http://www.pomorska.pl/apps/pbcs.dll/section?Category=BYGOSZC

... no trochę mało, (tak na marginesie... żeby takiej dużej firmie jak Media Regionalne Sp. z o.o. nie chciało się zainwestować chwili czasu swoich programistów na zaaplikowania mod_rewrite to co najmniej ciekawe), ale ku memu zdziwieniu nie dostałem kolejnego demotywatora pod tytułem "404" tylko coś zupełnie innego:

Pomyślałem sobie... a może da się tam wpisać troszkę więcej... niestety dało się. Co prawda, początkowo wszystko co niebezpieczne było sleszowane albo usuwane, jednak bajt 0x00 owe zabezpieczenia skutecznie wyłączył. Co więcej wartość zmiennej Category była (mocne słowo) wstawiana również wewnątrz znaczników <script></script> w kodzie HTMLa... co w konsekwencji dało bardzo prosty XSS.

http://www.pomorska.pl/apps/pbcs.dll/section?Category=B%00%22);alert(%22XSS

Grzeczny ze mnie chłopiec, więc zgłosiłem błąd przez formularz kontaktowy i dwie godzinki później napisał do mnie Kierownik Serwisów Internetowych (dumnie brzmi) z prośbą o opisanie szczegółów znalezionego błędu, co uczyniłem. Niestety mamy dzisiaj piątek drugiego tygodnia roboczego... błąd na stronie dalej jest. Jest to doskonały przykład, jak bardzo ważne jest bezpieczeństwo użytkownika dla spółki Media Regionalne. Bo dopóki nikt tego nie wykorzysta, lub konkurencja nie napisze kilku ciętych słów nikt palca do klawiatury nie ruszy, bo poco. "Jeden pryszczaty nastolatek nam nic nie zrobi" - ciekawe podejście.