Na stronach TVN.pl, Interia.pl oraz WP.pl występują błędy, dzięki którym możemy wywołać dowolny kod HTML bądź też kod napisany w JavaScript.Błąd na stronach dostępny jest poprzez wykorzystanie nie filtrowanej zmiennej „q=” wywoływanej przez serwisową wyszukiwarkę. Przykład wykorzystania błędu tego typu wygląda następująco:n
n
http://tvn.pl/szukaj.html?q=KODn
n
gdzie w miejsce KOD wpisujemy tekst, bądź kod w postaci czystego HTML lub JavaScript.n
n
Przykłady:n
n
http://tvn.pl/szukaj.html?q=http://hacking.pln
n
http://tvn.pl/szukaj.html?q=n
n
Serwis również posiada te same błędy. Przykładem może być tutaj serwis fakty.interia.pl gdzie możemy odwołać się do zmiennej „szukaj=„:n
n
http://fakty.interia.pl/szukaj?szukaj=KODn
n
Przykład:n
n
http://fakty.interia.pl/szukaj?szukaj=hacking.pln
n
Natomiast w przypadku ten sam błąd dostępny jest na stronie tv.wp.pl gdzie wystarczy wpisać swój kod w zmienną „katn=„n
n
http://tv.wp.pl/index.html?katn=KODn
n
Przykład:n
n
http://tv.wp.pl/index.html?katn=<h1></h1>n
n
oraz stronie pogoda.wp.pl gdzie również wpisujemy dowolny kod ale tym razem w zmienną „date=„n
n
http://pogoda.wp.pl/woj.html?POD=1&wid=MAZ&date=KODn
n
Przykład:n
n
http://pogoda.wp.pl/woj.html?POD=1&wid=MAZ&date=<h1></h1>n
n
Błędy dostępne są również w pozostałych serwisach WP.pl.n
n
Ostatecznie podsumowując błędy typu Cross-Site Scripting (XSS) znajdują się w prawie każdym serwisie internetowym, co stanowi dość poważny problem i otwierają nowe możliwości internetowym oszustom. Jedynym sposobem na zabezpieczenie się przed tego typu atakami jest zwrócenie większej uwagi na pisanie bezpieczniejszego kodu oraz filtrowanie każdej zmiennej, w której przekazywany jest zewnętrznie argument.
