Сайтът на НАП има XSS уязвимост

nap-site

Сайтът на НАП съдържа уязвимост, която позволява инжектирането на зловреден код и изпълнението му от браузъра на потребителя. Тази уязвимост би могла да бъде използвана, за да се пренасочи потребителят към фалшив фишинг сайт, предназначен за кражбата на лични данни.

Уязвимостта е от типа XSS, а слабото място на сайта може да се установи през неговата търсачка. XSS узявимостите позволяват на хакерите да инжектират код в сайта: така, че този код се изпълнява, когато потребителят отвори съответния сайт.

В случая със сайта на НАП инжектирането на зловреден код е съвсем лесно: той просто трябва да бъде въведен в търсачката и да се даде команда за търсене.

Ето един пример за проблема, който може да използвате, за да си направите шега с приятел. За целите на експеримента е въведен код, който кара сайта да изкара предупредително съобщение „Бате Бойко знае, че не си плащал данъци!“. Т.е. накарали сме сайта да направи нещо, което нормално не прави. За да се активира кода, изпратете този линк: http://nap.bg/search?searchText=%3Cscript%3Ealert%28%22%D0%91%D0%B0%D1%82%D0%B5+%D0%91%D0%BE%D0%B9%D0%BA%D0%BE+%D0%B7%D0%BD%D0%B0%D0%B5%2C+%D1%87%D0%B5+%D0%BD%D0%B5+%D1%81%D0%B8+%D0%BF%D0%BB%D0%B0%D1%89%D0%B0%D0%BB+%D0%B4%D0%B0%D0%BD%D1%8A%D1%86%D0%B8!%22%29+%3C%2Fscript%3E на човека, когото искате да заблудите. Към писмото може да добавите обяснения, че НАП предлага услуга за проверка за платени данъци и т.н. Щом получателят отвори линка, той ще види фалшивото предупредително съобщение.

Този пример е безобиден, но XSS уязвимостите могат да бъдат използвани с цел измама или кражба. Представете си, че някой инжектира код, който препраща потребителите към фалшив сайт на НАП, чиято единствена цел е да краде лични данни и информация за банкови сметки. Много потребители ще се заблудят и ще го отворят, тъй като адресът на линка е легитимен: реално първо се отваря сайтът на НАП, а след това скриптът пренасочва потребителя към фалшивия сайт.

Разбрах за тази уязвимост случайно: по време на семинар на специалиста по киберсигурност Руслан Тодоров, който е открил и други институции с уязвими сайтове. Миналата година открих проблем със сайта на Външно министерство, който на теория би могъл да се окаже сериозна дупка в онлайн сигурността на ведомството. Пак по това време попаднах на XSS уязвимост в сайта на Николай Бареков, която е идентична с тази на страницата на НАП.

 

 

2 коментара

Оставете коментар

Коментарите в този блог са публични. Ако не желаете истинското ви име да бъде публикувано, използвайте псевдоним.