I år har Yahoo haft en lucka som öppnade användarnas e-postkonton, Paypal hade ett hål som lät en hackare lägga in skadlig kod på sidorna och Barack Obama fick se sina besökare omdirigerade till Hillary Clintons webbplats.

Alla dessa sårbarheter berodde på det som kallas cross-site scripting, förkortat xss. Problemet har funnits sedan Javascript infördes i Netscape 1995.

Enligt en undersökning utförd av Web Application Security Consortium på över 32 000 sajter är xss-sårbarheter den absolut vanligaste säkerhetsluckan i dag.

Martin Holst Swende, webbexpert och konsult på MSC, tror att orsaken till att den välkända säkerhetsluckan fortfarande finns kvar är dålig kunskapsspridning.

– Det är svårt att utrota den eftersom många språk och plattformar – som till exempel php och jsp – som används för webbtjänster inte har inbyggda skydd mot dessa problem, säger Martin Holst Swende.

Det tillåter programmeraren att blanda ihop strukturinformation (html) med dynamiskt innehåll, vilket lätt leder till xss-sårbarheter.

Problemet blir särskilt allvarligt när man har att göra med stora domäner som Google eller Yahoo. En lucka i exempelvis Google Calendar kan öppna även Gmail då de befinner sig på samma domän.

Dessutom kommer hackarna på fler och fler sätt att dra nytta av luckorna. En ny trend som Martin Holst Swende nämner är tangentbordsloggare skrivna i Javascript. De kan då logga allt som skrivs på tangentbordet så länge man befinner sig på samma domän.

– När jag arbetade på Yahoo höll vi kontinuerligt på med interna scanningar. Hittades en xss-bugg fick den högsta prioritet, men de är svåra att bli av med helt på ett bolag med så stor webbnärvaro som Yahoo.

Arbetar man med en mindre sajt eller bygger en ny webbplats från grunden är det dock möjligt att undvika sådana här sårbarheter genom att höja abstraktionsnivån. Målet är att programmeraren aldrig skriver html. Annars måste man noggrant kontrollera informationen som kommer in och se till att html-koda allt som skickas ut.

Fakta

Tekniken bygger på att en hackare lägger in kod på en annars legitim webbplats. För användaren ser webbsidan oftast helt normal ut, men i bakgrunden kan skript som exempelvis stjäl inloggningsuppgifter köras.

Det finns flera sätt att gå tillväga, bland annat genom att posta skadlig kod i ett forum eller lura användaren till att klicka på en särskilt utformad länk.