Οι διευθύνσεις URL σε άρθρα στους New York Times (NYT) που δημοσιεύτηκαν πριν από το 2013 έχουν βρεθεί να είναι ευάλωτες σε XSS (cross-site scripting) επίθεση, ικανή να μεταφέρει κώδικα που θα εκτελείται στο πρόγραμμα περιήγησης.
Ένας φοιτητής από τη Σιγκαπούρη με το όνομα Wang Jing
ανέφερε την Πέμπτη την ευπάθεια XSS που επηρεάζει τους αναγνώστες της
online εφημερίδας. Δημιούργησε επίσης ένα βίντεο που αποδεικνύει την
επίθεση στις σελίδες διαφόρων παλαιών άρθρων στο NYT.
Μια ευπάθεια XSS
πηγάζει από την επικύρωση ανεπαρκών εισροών χρήστη και επιτρέπει σε μια
απειλή να χρησιμοποιήσει κακόβουλο κώδικα σε αυτούς που κάνουν κλικ
στον σύνδεσμο. Βασικά, κακή JavaScript προστίθεται μετά από ένα διπλό
απόσπασμα σε μια νόμιμη σύνδεση και στη συνέχεια εκτελέστηκαν.
Ο δυνητικός κίνδυνος είναι προφανής, δεδομένου ότι ο εισβολέας θα
μπορούσε να επισκιάσει συνεδρίες του προγράμματος περιήγησης, να κλέψει
τα cookies ή να κατευθύνει τον χρήστη σε ιστοσελίδες phishing.
Ο ερευνητής δήλωσε ότι δοκίμασε την επίθεση σε Firefox (26.0), σε
Ubuntu (12.04) και IE (9.0.15), με Windows 7 και δεν απαιτείται σύνδεση
του χρήστη, όπως μπορείτε να δείτε στο βίντεο επίδειξης παρακάτω.
http://youtu.be/RekCK5tjXWQ
πηγή :
http://www.inzeed.com/kaleidoscope/computer-security/xss-%CE%BA%CE%AF%CE%BD%CE
No comments:
Post a Comment