Ευπάθειες τύπου XSS σε site ελληνικών τραπεζών

Πρόσφατα δημοσιεύθηκε λίστα με ευπάθειες τύπου XSS που διαπιστώθηκαν σε site μεγάλων ελληνικών τραπεζών. Η λίστα η οποία δημοσιεύθηκε επώνυμα εδώ περιλαμβάνει αναλυτικές πληροφορίες σχετικά με τις ευπάθειες που βρέθηκαν και μάλιστα ανακοινώθηκε πριν ενημερωθούν οι εν λόγω τράεπεζες και προφανώς πριν τους δοθεί η ευκαιρία ή ο χρόνος να διορθώσουν τα συγκεκριμένα προβλήματα.

Πέρα από το δεδομένο προβληματισμό για την ασφάλεια των site των Ελληνικών τραπεζών, η συγκεκριμένη είδηση επανέφερε το θέμα της δημόσιας αποκάλυψης των προβλημάτων και περιστατικών ασφάλειας. Έχουμε ήδη αναφερθεί στο πρόβλημα αυτό, με αφορμή την Exposec 2009. Βέβαια πέρα από την ευθύνη των τραπεζών ή γενικότερα των θυμάτων παρόμοιων επιθέσεων, υπάρχει και η ευθύνη και η δεοντολογία των ερευνητών η οποία καλώς ή κακώς επιβάλλει την πρότερη ενημέρωση των υπευθύνων ή των αρμόδιων αρχών πριν τη δημοσιοποίηση τέτοιων προβλημάτων, ειδικά όταν πρόκειται για τόσο κρίσιμες εφαρμογές. Το DART είναι ένας τέτοιος φορέας που δέχεται παρόμοιες πληροφορίες ή καταγγελίες και ο οποίος έχει τη θεσμική και πρακτική δυνατότητα να τις αξιολογήσει κατάλληλα, να συμβάλλει στην άμεση και ουσιαστική επίλυσή τους αλλά και στην υπεύθυνη δημοσιοποίησή τους και την ενημέρωση το κοινού.

Advertisements

2 Responses to “Ευπάθειες τύπου XSS σε site ελληνικών τραπεζών”


  1. 1 Markos Gogoulos June 2, 2009 at 12:30 pm

    Ακούγεται τραγικό, κι όμως υπάρχουν sites που περιέχονται σε μια σχετική λίστα δημοσιευμένη το 2006 στο http://www.ad2u.gr/article.php?story=20060923090924513 !Τα vulnerabilities μπορεί να μην είναι τα ίδια ακριβώς, ελάχιστη σημασία έχει αυτό όμως.


  1. 1 Hack 4 Fame: Η επιστροφή « OWASP Greek Chapter Trackback on February 12, 2010 at 2:39 pm

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s





%d bloggers like this: