En av de mer pinlige avsløringene er manglende validering av inndata hos NorSIS.no. Dette er Norsk Senter for informasjonssikring som har som mål å bedre sikkerheten hos bedrifter og som kartlegger trusselbildet i norske IKT-systemer.

Øvrige organisasjoner med manglende kontroll av inndata inkluderer nettsteder for en rekke sykehus som Ullevål og Rikshospitalet samt offentlige etater som Høyesterett, Gulating og Forbrukerombudet. Videre har man en stor mengde kommersielle aktører som DinSide, Home.no, Nokia, NRK, Yelo, Computerworld, Bergensavisen, Bergens Tidende og Digi.

I tillegg har man nettsteder som Netfonds som driver med aksjehandel og trading med sårbarheten påvist i kundeinnloggingen av nettstedet.


Et eksempel på en dialogboks startet fra et javascript kjørt inn via søkefeltet på NorSIS.

Dette er bare et lite utdrag av sårbare nettsteder. Listen forøvrig teller totalt 80 større kommersielle aktører og offentlige nettsteder.


Alle sårbare nettsteder varslet

Vi vil poengtere at at alle involverte nettsteder er varslet om sikkerhetshullene på sine nettsteder og burde ha fått tilstrekkelig med tid til å korrigere sårbarhetene.


Metoden for angrep

Cross-Site Scripting (XSS) er et kjent tema for sikkerhetsbevisste utviklere, men det blir fortsatt ofte undervurdert. Kort forklart innebærer XSS at en dynamisk webside kan utnyttes til til å sette inn javascript/vbscript fra andre domener.

Ondsinnede personer utnytter som regel XSS ved å skape tilpassede URL'er og lure folk til å besøke disse. E-post er en velfungerende metode for å få personer til å besøke en link. Ved å sende ut enorme mengder e-post med manipulert header - slik at meldingen ser ut til å komme fra den sårbare siden - er angriperen garantert at noen klikker på linken.

Men vellykket XSS krever ikke alltid at en link blir besøkt. HTML e-post kan lages slik at script-kode lastes automatisk blant annet ved hjelp av IMG eller IFRAME-tags.

Ved å utnytte XSS kan det settes opp falske skjemaer, eller eksisterende skjemaer kan manipuleres, slik at man leser innholdet av det som skrives inn i feltene. Dermed kan man få tilgang på brukernavn og passord, eller varebestillinger og annen sensitiv informasjon.

Med litt kreativitet kan man overta en webshop, innloggingsside eller et kontaktskjema fullstendig med tilpassede URL'er. Man kan også tilegne seg informasjon lagret i cookies eller sessions.


Innloggingsvinduer kan enkelt manipuleres via XSS.

Når dette er gjort, kan angriperen benytte dataene til å besøke siden autentisert som den gyldige brukeren. Man kan dermed få tilgang på eksempelvis e-postmeldinger eller kontrollpanel for bankkonto.

Det kan legges inn reklametekst, lenker, bilder og lignende. For de som besøker siden gjennom linken vil alt se helt normalt ut.

I tillegg kan man ta full kontroll over den besøkendes nettleser med de effektene dette kan ha. Det åpner også for muligheter til å utnytte svakheter i selve nettleseren, noe som igjen kan gi angriperen full kontroll over maskinen.


Enkelt å korrigere

For å validere inndata via kundeinnlogging, søkefelter og kontaktskjema på korrekt vis er det enkle grep man kan gjøre. Teknisk sett går det ut på å passe på tags i hvert enkelt felt og skrive disse med sin korrekte HTML-verdi. Det vil si & lt; og & gt;. I PHP kan man benytte funksjonen htmlentities på denne måten:

$variabel = htmlentities($_POST['variabel'])


De sårbare nettstedene

Via en omfattende undersøkelse har vi kartlagt hele 80 av 350 nettsteder til å være sårbare for angrep. Disse nettstedene kan altså utnyttes ved å kjøre et enkelt javascript eller vbscript som nevnt ovenfor.

ITpro har benyttet sikkerhetsselskapet Data Security ved Espen Øivindsson til å påvise XSS-sårbarhetene på et bredt utvalg av større nettsteder i Norge.


Sårbare ved innlogging:

• Netfonds.no
• DinSide.no
• Home.no
• Lindegaard.no
• Sjusjoen.no
• Opedal.no
• Hittegodskontoret.no
• Diplom-is.no

Sårbare via søk eller kontaktsider:

• NorSIS.no
• Zett.no
• Hydro.com
• TV3.no
• Helsetilsynet.no
• Asker Kommune
• Colorline.no
• Hobby-huset.no
• Ebnett.no
• Spama.no
• Ulleval.no
• Ahus.no
• Rikshospitalet.no
• Baerum-Sykehus.no
• Aus.no
• Legeforeningen.no
• BlefjellSykehus.no
• Sunnaas.no
• Forbrukerombudet.no
• Nokia.no
• Hoyesterett.no
• Matematikksenteret.no
• NRK.no
• Trafikanten.no
• Dep.no
• Hafslund.no
• Handel.no
• Kommunesiden.no
• Yelo.no
• Gulesider.no
• Rignes.no
• Norsk-Sjofartsmuseum.no
• Nla.no
• Hegnar.no
• Idrett.no
• Fortum.no
• Bellona.no
• AllerKonsern.no
• Kofa.no
• Bluesnews.no
• Lofavor.no
• Brikken.no
• Serinn.no
• Plott.no
• Nfi.no
• Kulturnett.no
• Antikvaren.no
• Geologi.no
• Gulating.no
• Forskningsdagene.no
• Computerworld.no
• Digi.no
• Nopef.no
• Relis.no
• Uib.no
• Halos.no
• Disnorge.no
• Vinduet.no
• Ansa.no
• Vox.no
• Uwphoto.no
• Nova.no
• Smaalensveven.no
• Brotunnel.no
• Nord-fron.kommune.no
• Sykehuset-Innlandet.no
• BA.no
• BT.no
• Adressa.no
• Mattilsynet.no
• Baerum.kommune.no
• Kommuneforlaget.no

Hvis noen av nettstedene fremdeles er utsatte for sårbarheten, er dette en indikasjon på en risikabel nedprioritering av sikkerhet fra nettstedets eiere. Til forbrukernes beste legger vi ut listen over alle nettsteder hvor sårbarheten er påvist slik at sikkherhetshullene forhåpentligvis kan bli korrigert snarest mulig.


God sikkerhet gir tillit

I utgangspunktet bør det være en selvfølge at man kan besøke seriøse Norske nettsteder og være sikker på at nettstedet man er inne på håndterer din sikkerhet og personlig informasjon på en trygg måte. Med dagens internett er det ikke slik. Webutvikleres evne til å tenke sikkerhet avhenger av hver enkelt utviklers kompetanse og hvert enkelt firmas fokus på sikkerhet.

Internett er ennå bare i startgropen av hva det kommer til å bli i fremtiden. Besøkendes visshet om trygge nettsteder gir grunnlag for raskere vekst. Å sette sikkerhet på nettsteder i søkelyset er viktig for å oppnå brukernes tillit. Dette har direkte innvirkning på folks bruksmønster og dermed utviklingen av fremtidens internett.