O XSS sa toho popísalo už dosť. Aj my sme už neraz informovali o sile a využití XSS v praxi, aby sme zmenili názor mnohých vývojárov, správcov a aj verejnosti na problematiku tejto zraniteľnosti. Posledný prípad opätovne zvráteným spôsobom poukazuje na silu XSS.

Fórum neziskovej Nadácie Epileptikov zaznamenalo útok využívajúci XSS. Pri tomto útoku bol do náhodných príspevkov po celom fóre vkladaný JavaScript, ktorý spôsoboval blikanie obrazovky počítača, ktoré malo za následok vyvolanie epileptického záchvatu mnohých návštevníkov. Fórum bolo okamžite uzavreté, aby nedochádzalo k ďalšiemu poškodzovaniu zdravia návštevníkov. Podľa slov Kena Lowenberga, správcu webu nadácie, sa zo všetkých síl snažia odstrániť zraniteľnosti, ktoré môžu byť zneužité na útok. Napriek ich snahe však potrvá veľmi dlho kým sa vrátia poškodení návštevníci, ktorí dostali záchvat, alebo dokonca sériu záchvatov po navštívení fóra.

Útok sa začal 22. marca, kedy útočníci vložili na stránku stovky správ s animovanými gif obrázkami. Keďže tento útok nepovažovali za dostatočne efektívny, začali do náhodne vybraných príspevkov vkladať JavaScript, ktorý návštevníka presmeroval na stránku, na ktorej bolo vyvolané sústavne blikanie.

Tento útok zasiahol niekoľko návštevníkov fóra, medzi ktorými bolo aj 33 ročná RyAnne Fultz. Tá, podla vlastných slov, po otvorení príspevku dostala okamžitý epileptický záchvat.

Nadácia sa obávala negatívnych reakcií a samozrejme žalôb, ktoré na nich mohli podať poškodení užívatelia. Tí sa však voči nadácii vyjadrujú v kladnom zmysle a chápu, že nadácia spravila všetko preto, aby útoky okamžite odstránila. Aj napriek tomu, že sa útok odohral cez veľkonočné sviatky, správcovia stránok zareagovali za necelých 12 hodín, od kedy sa útoky objavili.

Odborníci tvrdia, že epilepsiou trpí 50 miliónov ľudí. V minulosti som sa epilepsiou zaoberal trošku podrobnejšie, a preto viem, že toto číslo nieje celkom presné. Epilepsiou trpí snáď každý, akurát u väčšiny ľudí ostávajú impulzy v mozgu a preto na nich epilepsiu nieje poznať. Ak ale zavítate do nemocnice na test, nájdu ju a označia vás za epileptika. Z rozhovoru s jednou zdravotnou sestričkou ktorá pracuje s týmito testami som sa dozvedel, že drvivá väčšina testov je pozitívnych. Pravou však ostáva, že existuje strašne veľké množstvo druhov epilepsie, asi najviac “zaujímavý” druh epilepsie je ten, pri ktorom postihnuté osoby zažívajú často deja-vu. Len 3% epileptikov dostávajú záchvaty spôsobené blikajúce objektami.

Napriek veľkej nemorálnosti útoku je ďalším potvrdením nebezpečenstva XSS. Ak je tento útok dobre cielený, môže napáchať obrovské škody a to nielen finančného, ale aj psychického, či fyzického charakteru, ako v tomto prípade.

Viac sa môžte dozvedieť na stránkach magazínu Wired.