Critical XSS Flaw Discovered in Barack Obama’s Website (Flaw XSS Kritis Ditemukan di Website Barack Obama) New News Hacker
A security research team called Vulnerability-Lab have discovered a persistent XSS vulnerability in the official website of Barack Obama. This is not the first time that the president’s website was targeted. About a year ago SecurityShell reported a similar XSS vulnerability on their blog.
This time the president was lucky; the hackers were ethical and reported the exploit before publicly disclosing it. The Barack Obama website administrators took over a week to respond, but eventually patched their system with some help from the researchers. This is the white hat world where hackers follow a procedure called Responsible Disclosure. They report the exploit to the web site and wait for a fix before announcing their discovery. However there is also a dark side – an underworld of cyber-criminals who exploit website vulnerabilities for financial or political gain.
Below is the original report timeline, at the time of writing I did not have a confirmed date of the Patch, however the researchers told me that the website is not vulnerable anymore.
Report-Timeline:
================
2011-08-30: Vendor Notification
2011-09-19: Vendor Response/Feedback
2011-09-**: Vendor Fix/Patch
2011-09-12: Public or Non-Public Disclosure
Image from last year's hack against the same website
Many times XSS vulnerabilities are used to deface websites. This type of activity is the equivalent of throwing paint on a billboard on the highway. It’s easy to do and ugly for the website, however the damage is easily reversed.
This particular exploit appears to be more sophisticated than simple vandalism. Vulnerability-Lab succeeded in injecting Javascript into the back-end of the website. This Javascript, made it all the way into mailshots generated by the system. In their Proof of Concept (PoC) code the researchers demonstrated how an IFRAME exploit could be inserted into emails sent from info@barackobama.com.
This email comes from info@barackobama.com and contains a malicious script.
The screenshot above shows a page from the Global Evolution Security website as it appears embedded in an email sent from the barackobama.com website. The email source is below:
Check out this video from the President’s lunch to hear him speak=20
in his own words about what it means to organize. Then will you=20
sign up to be a volunteer for 2012 in >”<iframe =
src=3Dhttp://vulnerability-lab.com width=3D800 height=3D800>?
The attackers managed to inject this by exploiting a vulnerability in the volunteer signup form that is available on the website.
Volunteer Signup
During the signup process, the user is asked for his name, email address and other details. This form allowed them to inject the script tags that made the attack possible. Apart from appearing in emails, the attack script also appeared on other parts of the website, meaning that visitors to the barackobama.com web page were also vulnerable.
XSS attacks are often overshadowed by their ugly cousin – SQL Injection. This causes them to remain undetected for a long time. SQL Injection attacks do a lot of damage and are much more frequent, however here we see once again that XSS can be used effectively with devastating effects.
To circumvent these types of attacks it is important to run automated vulnerability scans using a Web Vulnerability Scanner. Vulnerability scanning should be followed by thorough code reviews and patches must be applied where necessary.
Translate to Indonesian #Rafi Aldiansyah > Writer
Sebuah penelitian tim keamanan yang disebut Kerentanan-Lab telah menemukan kerentanan XSS terus-menerus dalam situs resmi Barack Obama. Ini bukan pertama kalinya bahwa website presiden menjadi sasaran. Sekitar setahun yang lalu SecurityShell melaporkan kerentanan XSS yang sama di blog mereka.
Sebuah penelitian tim keamanan yang disebut Kerentanan-Lab telah menemukan kerentanan XSS terus-menerus dalam situs resmi Barack Obama. Ini bukan pertama kalinya bahwa website presiden menjadi sasaran. Sekitar setahun yang lalu SecurityShell melaporkan kerentanan XSS yang sama di blog mereka.
Kali ini presiden beruntung; hacker etis dan dilaporkan mengeksploitasi publik sebelum mengungkapkannya. Barack Obama mengambil alih administrator situs seminggu untuk menanggapi, tapi akhirnya ditambal sistem mereka dengan beberapa bantuan dari para peneliti. Ini adalah dunia di mana hacker topi putih mengikuti prosedur yang disebut Pengungkapan yang bertanggung jawab. Mereka melaporkan memanfaatkan ke situs web dan menunggu untuk memperbaiki sebelum mengumumkan penemuan mereka. Namun ada juga sisi gelap - sebuah dunia bawah cyber-penjahat yang mengeksploitasi kerentanan website untuk keuntungan finansial atau politik.
Di bawah ini adalah timeline laporan aslinya, pada saat menulis saya tidak memiliki tanggal dikonfirmasi Patch, namun para peneliti mengatakan kepada saya bahwa website ini tidak rentan lagi.
Laporan-Timeline:
================
2011/08/30: Vendor Pemberitahuan
2011/09/19: Vendor Tanggapan / Umpan Balik
2011-09 -**: Vendor Perbaiki / patch
2011/09/12: Keterbukaan Informasi Publik atau Non-Publik
Gambar dari hack tahun lalu terhadap situs yang sama
Banyak kali kerentanan XSS digunakan untuk situs web deface. Jenis kegiatan ini adalah setara dengan melemparkan cat di papan reklame di jalan raya. Sangat mudah untuk dilakukan dan jelek untuk website, namun kerusakan mudah dibalik.
Ini mengeksploitasi tertentu muncul lebih canggih dari vandalisme sederhana. Kerentanan-Lab berhasil menyuntikkan Javascript ke back-end website. Javascript ini, membuat semua jalan ke mailshots dihasilkan oleh sistem. Dalam Bukti mereka Konsep (PoC) kode peneliti menunjukkan bagaimana mengeksploitasi IFRAME bisa dimasukkan ke dalam email yang dikirim dari info@barackobama.com.
Email ini berasal dari info@barackobama.com dan berisi sebuah script berbahaya.
Screenshot di atas menunjukkan halaman dari situs web Keamanan Global Evolution seperti yang muncul tertanam dalam sebuah email yang dikirim dari situs barackobama.com. Sumber email di bawah ini:
Check out video ini dari makan siang Presiden mendengarnya bicara = 20
dalam kata-kata sendiri tentang apa artinya untuk mengatur. Kemudian akan Anda = 20
mendaftar menjadi relawan untuk 2012 di> "<iframe =
src = 3Dhttp: / / kerentanan-lab.com width = 3D800 height = 3D800>?
Para penyerang berhasil menyuntikkan ini dengan memanfaatkan kerentanan dalam formulir pendaftaran relawan yang tersedia di website.
Daftar Relawan
Selama proses pendaftaran, pengguna diminta untuk nama, alamat email dan rincian lainnya. Formulir ini memungkinkan mereka untuk menyuntikkan tag script yang membuat serangan mungkin. Selain muncul dalam email, script serangan juga muncul pada bagian lain dari website, yang berarti bahwa pengunjung ke halaman web barackobama.com juga rentan.
Serangan XSS sering dibayangi oleh sepupu jelek mereka - SQL Injection. Hal ini menyebabkan mereka untuk tetap tidak terdeteksi untuk waktu yang lama. SQL Injection serangan melakukan banyak kerusakan dan jauh lebih sering, namun di sini kita melihat sekali lagi bahwa XSS dapat digunakan secara efektif dengan efek yang menghancurkan.
Untuk menghindari serangan jenis ini adalah penting untuk menjalankan scan kerentanan otomatis menggunakan Web Vulnerability Scanner. Pemindaian kerentanan harus diikuti oleh tinjauan kode yang menyeluruh dan patch harus diterapkan di mana diperlukan.
Artikel dilindungi Web Resmi
bagi yang ingin mengcopy sertakan alamat blog ini
bagi yang ingin mengcopy sertakan alamat blog ini
by Rafi Aldiansyah Asikin