Cross-site scripting (XSS) στην επίσημη σελίδα της Digea

Η Digea Ψηφιακός Πάροχος Α.Ε. είναι μια εταιρεία που έχει συσταθεί από τα ιδιωτικά τηλεοπτικά κανάλια εθνικής εμβέλειας ALPHA, ALTER, ANTΕΝΝΑ, ΜΑΚΕΔΟΝΙΑ TV, MEGA, ΣΚΑΪ και STAR.
Στις 7 Φεβρουαρίου του 2014 ανακηρύχτηκε υπερθεματιστής για το σύνολο των δικαιωμάτων χρήσης ραδιοσυχνοτήτων εθνικής και περιφερειακής κάλυψης. Στόχος της εταιρείας ήταν να κατασκευάσει το επίγειο ψηφιακό δίκτυο της χώρας και να ολοκληρώσει τη μετάβαση από το αναλογικό σε ψηφιακό τηλεοπτικό σήμα.Cross-site scripting (XSS) στην επίσημη σελίδα της Digea

Μέχρι το τέλος του 2013 η εταιρεία ενεργοποίησε 13 κέντρα εκπομπής ανά την Ελλάδα, δίνοντας πρόσβαση στο ελεύθερο επίγειο ψηφιακό τηλεοπτικό σήμα σε πάνω από το 70% του πληθυσμού της χώρας.

Με την ολοκλήρωση της επίγειας ψηφιακής μετάβασης, ενεργοποιήθηκαν 156 κέντρα εκπομπής, που καλύπτουν με ψηφιακό σήμα το 95% του ελληνικού πληθυσμού.

Πραγματικά εντυπωσιακά τα επιτεύγματα της εταιρείας, αλλά σύμφωνα με τον γνωστό μας ερευνητή Nyo(GHS), η επίσημη ιστοσελίδα της Digea επιτρέπει σε κακόβουλους ή μη κακόβουλους χρήστες Cross-site scripting ή XSS.

Με τον όρο Cross-site scripting ή XSS αναφερόμαστε στην εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή Javascript σε κάποια ιστοσελίδα. Κάποιος κακόβουλος χρήστης, θα μπορούσε να εισάγει κώδικα σε μια ιστοσελίδα, μέσω ενός κειμένου εισόδου για παράδειγμα, το οποίο αφού δεν θα φιλτραριζόταν από τη σελίδα σωστά, θα μπορούσε να προκαλέσει προβλήματα στον διαχειριστή ή επισκέπτη του site.

Παράδειγμα:

Ο κακόβουλος χρήστης θα μπορούσε να:

Υποκλέψει κωδικούς λογαριασμών και προσωπικά δεδομένα
Αλλάξει τις ρυθμίσεις του ιστοχώρου
Υποκλέψει cookies
Να ανεβάσει ψευδείς διαφημίσεις, μέσω κάποιου συνδέσμου

Η ευπάθεια αναφέρεται στην αδυναμία του συστήματος να φιλτράρει και να απορρίψει τυχόν επιβλαβείς εισόδους.

Δείτε τα screenshots που μας έστειλε ο Nyo

Cross-site scripting (XSS) στην επίσημη σελίδα της Digea

Cross-site scripting (XSS) στην επίσημη σελίδα της Digea

Σύμφωνα με τον ερευνητή δημοσιοποίησε το XSS σαν απάντηση στο βίντεο “MEGA – Η DIGEΑ απειλεί με ΜΑΥΡΟ!”

Το βίντεο αναφέρει ότι “σύμφωνα με πληροφορίες το Διοικητικό Συμβούλιο της Digea αποφάσισε να προχωρήσει σε αποδυνάμωση του σήματος του σταθμού παρά το γεγονός ότι είναι σε εξέλιξη διαπραγματεύσεις μεταξύ μετόχων και τραπεζών για να βρεθεί λύση. Αυτό σημαίνει ότι ή θα προβάλλεται «σπασμένη» εικόνα με pixels, είτε «παγωμένη» εικόνα και να ακούγεται μόνο ήχος.”

Αναφέρει επίσης ότι η δημοσιοποίηση του XSS δεν έγινε για να υποστηρίξει κάποιο ιδιωτικό κανάλι αλλά τον τελικό χρήστη-τηλεθεατή.
Το XSS επηρεάζει όλη τη σελίδα μέσω της javascript και μπορεί να την παραμορφώσει πλήρως.Cross-site scripting (XSS) στην επίσημη σελίδα της Digea

 

 

Πηγή : secnews

 

 

MNb3WYb.png

QwAFf7V.png

dfIK0AV.png

 



Anastasis KingStyle

PC Technical,Ethical Hacker,Cyber Security Expert,Cyber Security Analyst,Information Security Researcher,Part-Time Hacker,Child Pornography & Sexual Abuse Combat


Σχολιάστε

Η ηλ. διεύθυνσή σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *