Darmowe programy do pobrania:

Już teraz pobierz za darmo dobre programy, które dla Ciebie wybraliśmy:

Dobry Darmowy Avast Antywirus

Dobry Darmowy Antywirus Avast
Świetny darmowy antywirus do pobrania
Pobierz Avast <

 Darmowy Antywirus AVG

AVG Darmowy Antywirus
Bardzo dobry antywirus AVG Free
Pobierz AVG <

Adobe Flash Player do pobrania

Adobe Flash Player
Nowy Adobe Flash Player do pobrania
Pobierz Adobe Flash Player <

Skype pobierz

Komunikator Skype
Rozmawiaj za darmo przez nowe Skype
Skype Pobierz <

Google Chrome

Google Chrome
Nowa wersja przeglądarki Google Chrome
Pobierz Google Chrome <

Pobierz darmową Automapę

Darmowa Automapa
Nowa wersja Automapy do pobrania
> Pobierz darmową Automapę <

 

Szukaj:

Co może grozić za atak XSS

 
Co może grozić za atak XSS

Sprawdzenie, czy dana strona jest podatna na atak XSS, to stosunkowo łatwe zadanie. W większości przypadków sprowadza się do żmudnego wpisywania w pola formularzy odpowiednio przygotowanego kodu. Dziennik Internautów zapytał prawnika, czy podejmowanie takich działań może skutkować odpowiedzialnością cywilną lub karną. Okazało się, że tak.

Kilka dni temu opublikowaliśmy w Dzienniku Internautów wywiad z prawnikiem Marcinem Błaszykiem, który wyjaśnił m.in. czy można upublicznić informację o luce bez wcześniejszego skontaktowania się z podmiotem, którego ona dotyczy. Najłatwiejsze do wykrycia wydają się błędy umożliwiające atak XSS (ang. cross-site scripting), czyli wprowadzenie złośliwego kodu w oryginalną treść strony.

Najbardziej narażone są serwisy, w których zachodzi interakcja z użytkownikami lub też wyświetlane są jakiekolwiek dane pochodzące z zewnątrz, np. fora internetowe, serwisy aukcyjne, sklepy internetowe z opcją komentowania i recenzowania produktów, systemy kont pocztowych dostępne przez protokół HTTP, otwarte systemy encyklopedyczne Wiki, moduły wyszukiwania itp.

XSS pozwala napastnikowi m.in. na kradzież wartości przechowywanych w ciasteczkach (ang. cookies) używanych często do identyfikacji użytkownika. Jeden z Czytelników Dziennika Internautów odkrył taką lukę w Naszej-Klasie. Stosując XSS, można również przekierować użytkownika na inną stronę, zainstalować w jego systemie konia trojańskiego oraz sfałszować zawartości witryny.

Dziennik Internautów zwrócił się do kancelarii prawniczej Rachelski i Wspólnicy z prośbą o wyjaśnienie, co może grozić za podjęcie opisanych wyżej działań. Szczegółowej odpowiedzi udzielił nam Przemysław Adamus:

W pierwszej kolejności należy zwrócić uwagę na regułę wyrażoną w art. 415 Kodeksu cywilnego, który normuje zasadę odpowiedzialności opartej na winie sprawcy szkody. Za szkodę odpowiada osoba, której zawinione zachowanie jest źródłem powstania tej szkody. Zdarzeniem sprawczym będzie tutaj zarówno działanie, jak również w pewnych przypadkach zaniechanie. Pierwsze polega na zachowaniu się aktywnym, drugie na zachowaniu się biernym. To ostatnie może być uznane za „czyn” wówczas, gdy wiąże się z ciążącym na sprawcy obowiązkiem czynnego działania i niewykonania tego obowiązku. Pomijając doktrynalne kwestie związane z pojęciem „winy”, należy przywołać wyrok z 26 września 2003 r., IV CK 32/2002 („Rzeczpospolita” 2003, nr 226, s. C4), w którym Sąd Najwyższy stwierdził, że na gruncie prawa cywilnego winę można przypisać podmiotowi prawa, kiedy istnieją podstawy do negatywnej oceny jego zachowania z punktu widzenia zarówno obiektywnego, jak i subiektywnego (tzw. zarzucalność postępowania).

Oznacza to, że sprawca ataku XSS powinien liczyć się z poniesieniem odpowiedzialności cywilnej, jeśli wyrządzi szkodę, zwłaszcza w przypadku instytucji finansowej lub publicznej. W pewnych sytuacjach osoba, która dokonała ataku, może zostać pociągnięta również do odpowiedzialności karnej.

W szczególności można przywołać następujące przepisy ustawy Kodeks karny (k.k.). W przypadku, gdy dojdzie do ataku XSS na instytucje rządowe, zastosowanie może mieć art. 265 k.k., zgodnie z którym ten, kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Przedmiotem ochrony tego artykułu są informacje stanowiące tajemnicę państwową. W rozumieniu ustawy z 22 stycznia 1999 r. o ochronie informacji niejawnych tajemnicą państwową jest informacja określona w wykazie rodzajów informacji, stanowiącym załącznik nr 1, której nieuprawnione ujawnienie może spowodować istotne zagrożenie dla podstawowych interesów Rzeczypospolitej Polskiej dotyczących porządku publicznego, obronności, bezpieczeństwa, stosunków międzynarodowych lub gospodarczych państwa.

Mając na względzie różnorodne przypadki, w których może dojść do ataków XSS, można również wskazać na art. 266 k.k., zgodnie z którym ten, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Najczęściej zastosowanie może mieć art. 267 k.k. w brzmieniu obowiązującym od dnia 18 grudnia 2008 r. Zgodnie z treścią tego przepisu, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Przepis penalizuje również uzyskanie bez uprawnienia dostępu do całości lub części systemu informatycznego oraz uzyskanie informacji, do której nie jest uprawniony, posługując się określonym urządzeniem lub oprogramowaniem. Ujawnienie tej informacji podlega tej samej karze. Zabezpieczenie, o którym mowa w art. 267 § 1 k.k., oznacza każdą formę utrudnienia dostępu do informacji, której usunięcie wymaga wiedzy specjalistycznej lub zastosowania szczególnego urządzenia bądź kodu.

Karze określonej przepisami k.k. podlega również ten, kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych (art. 268 k.k.).

Przepisy prawa, przedstawione przez Przemysława Adamusa, pozwalają stwierdzić, że w pewnych przypadkach ataków XSS (przejawiających się tylko poszukiwaniem luk) może dojść do sytuacji, w której osoba dopuszczająca się takich czynów poniesie odpowiedzialność cywilną lub karną.

Data dodania:
09.08.2009 15:19, przez:
Czytano:
1869 razy
Ocena:
Gwiazdka AktywnaGwiazdka AktywnaGwiazdka AktywnaGwiazdka AktywnaGwiazdka Aktywna
- Świetny (4.5/5)   Liczba ocen: 2
Twoja ocena:
Gwiazdka NieaktywnaGwiazdka NieaktywnaGwiazdka NieaktywnaGwiazdka NieaktywnaGwiazdka Nieaktywna
 
[14]

Yanosik 3.5.3.1

Darmowa nawigacja i legalny antyradar w jednym. Polecam!

[5]

DWG TrueView 2018

Darmowe narzędzie do przeglądania projektów w formacie D...

[4]

Subiekt GT 1.56

Popularny system obsługi sprzedaży dla małych oraz średn...

[4]

Ashampoo Photo Commander 12.0.13

Pakiet oprogramowania przeznaczony dla Twojej kolekcji f...

[3]

Blaster: Aktualizacja zabezpieczeń dla s...

Łatka uniemożliwiająca zdalne przejęcie kontroli nad sys...

[3]

Łatka na Sassera - KB835732-x86-PLK

Poprawka dla systemów Windows XP, 2000 oraz 2003 Server,...

[3]

Skype 4.3.0.37-1 dla Linuksa

Bardzo dobry komunikator internetowy dla systemów linuks...

[3]

SUPERAntiSpyware Free 6.0.1222

Darmowy program usuwający z systemu wszelkiego rodzaju s...

[3]

ProduKey 1.85

Jest to bardzo małe, darmowe narzędzie pokazujące Produc...

[3]

Avast Clear 10.3.2223

Aplikacja usuwa wszelkie pliki związane z programem Avas...

 
 
update
05.03.2022

Darmowy program do pobierania plików video z ser...

update
21.11.2019

Popularny system obsługi sprzedaży dla małych or...

update
17.11.2019

Pobierz dobry darmowy komunikator i rozmawiaj za...

update
12.11.2019

Darmowy odtwarzacz multimedialny o dużych możliw...

update
11.11.2019

Aktualna wersja popularnego pakietu graficznego ...

update
11.11.2019

Darmowy, ale bogaty w funkcjonalności program op...

update
11.11.2019

Ściąga pliki z serwisu YouTube i zapisuje je na ...

update
11.11.2019

Pakiet narzędzi służących do konwersji plików au...

update
11.11.2019

Najnowsza stabilna wersja świetnej przeglądarki ...

update
03.11.2019

Nowa wersja Darmowej Automapy 2018 do pobrania

 

Otrzymane hasło:

Informacje:

49 870 370
Liczba pobrań:
1 396 
Liczba plików:
Administrator serwisu nie jest autorem udostępnianych programów i nie ponosi żadnej odpowiedzialności wynikającej z ich użytkowania.
Na naszej stronie nie można kupić żadnego programu. Udostępniane są tu jedynie bezpośrednie linki do aktualnych wersji plików.

Wszelkie prawa zastrzeżone. Ochronie prawnej podlegają rozwiązania programistyczne, teksty, grafiki oraz inne materiały
dostępne na stronie, a także cała szata graficzna serwisu. Korzystanie ze strony oznacza pełną akceptację Regulaminu.