[Owasp-Helsinki] Owasp huippukymppi

Lea Viljanen Lea.Viljanen at lavsecurity.fi
Wed Sep 24 16:11:25 EDT 2008 

Kiva että tästä on tullut aktiivista keskustelua. Itse lupasin myös
osallistua kääntämistyöhön kun minulla jopa on muutama opintoviikko
käännösalan opintoja. Juuri tämä ykkönen taisi olla minun nakkini, mutta
tämä viikko on ollut varsin hektistä enkä ole ehtinyt aiemmin kommentoida.

> 1. Haitallisen komentosarjasyötteen (skriptin) välittäminen käyttäjän 
> selaimeen
> 
> Käyttäjän antama syöte välitetään tarkistamatta toisen käyttäjän 
> selaimeen. Tämä mahdollistaa esim. istunnon kaappaavien tai web-sivuston 
> sisältöä väärentävien komentosarjojen ajamisen selaimessa.
> 
> (Cross-site Scripting, XSS, http://www.owasp.org/index.php/Top_10_2007-A1)

Ymmärrän kyllä, että lyhennettä XSS tai nimeä "cross site scripting" ei
haluta käyttää, mutta ei tämä kyllä asiaa kovin paljon enemmän valaise.
Esimerkiksi termiä komentosarjasyöte ei Google tunnista, komentosarja
sen sijaan on ok.

Tässä on kaksi käännösfilosofista linjaa, jonka välillä voidaan tehdä
valintaa. Ensimmäinen on kääntää se asiantuntijoille käyttäen
asiantuntijoiden tuntemaa terminologiaa. Toinen on kääntää se
yleiskielelle, jolloin tässä tapauksessa koko ongelma pitää oikeasti
selittää pidemmän kaavan mukaan, eikä kääntää sanasta sanaan. Tästä
filosofisesta lähestymistavasta ei kaiketi ole ollut OWASPin /
Viestintäviraston kanssa puhetta, vai?

Vapaamuotoiseksi kakkostyypin käännökseksi ehdotan ykkösestä seuraavaa
(tämä laajempi selostus jättää kyllä passiivisen XSS:n huomiotta, ehkä
pitää vielä hioa):

1) Komentojonon välittäminen uhrin selaimeen
   (engl. cross site scripting, XSS)

Jos WWW-sovellus ei tarkista käyttäjältä saamaansa syötettä oikein vaan
näyttää sen sellaisenaan osana sivujaan, voi hyökkääjä laatia
esimerkiksi haavoittuvan WWW-sovelluksen lailliselta URL-osoitteelta
vaikuttavan komentojonon, joka suoritetaankin uhrin selaimessa.
Tällaisella kommentojonolla voidaan esimerkiksi kaapata uhrin
sovellusten istuntojen tunnisteita identiteettivarkautta varten, lukea
selaimessa säilytettäviä tietoja tai väärentää sivustojen sisältöä.

-- 
Lea Viljanen, johtava konsultti
GSNA & CISSP			LAV Security Oy
Lea.Viljanen at lavsecurity.fi	http://www.lavsecurity.fi
+358 40 5500 949

More information about the Owasp-helsinki mailing list