XSS κίνδυνοι εντοπίστηκαν σε συνδέσμους στο New York Times σε άρθρα πριν το 2013

Οι διευθύνσεις URL σε άρθρα στους New York Times (NYT) που δημοσιεύτηκαν πριν από το 2013 έχουν βρεθεί να είναι ευάλωτες σε XSS (cross-site scripting) επίθεση, ικανή να μεταφέρει κώδικα που θα εκτελείται στο πρόγραμμα περιήγησης.

 

5-hackers-famosos-que-debes-conocer

 

Ένας φοιτητής από τη Σιγκαπούρη με το όνομα Wang Jing ανέφερε την Πέμπτη την ευπάθεια XSS που επηρεάζει τους αναγνώστες της online εφημερίδας. Δημιούργησε επίσης ένα βίντεο που αποδεικνύει την επίθεση στις σελίδες διαφόρων παλαιών άρθρων στο NYT.

 

Μια ευπάθεια XSS πηγάζει από την επικύρωση ανεπαρκών εισροών χρήστη και επιτρέπει σε μια απειλή να χρησιμοποιήσει κακόβουλο κώδικα σε αυτούς που κάνουν κλικ στον σύνδεσμο. Βασικά, κακή JavaScript προστίθεται μετά από ένα διπλό απόσπασμα σε μια νόμιμη σύνδεση και στη συνέχεια εκτελέστηκαν.

 

Ο δυνητικός κίνδυνος είναι προφανής, δεδομένου ότι ο εισβολέας θα μπορούσε να επισκιάσει συνεδρίες του προγράμματος περιήγησης, να κλέψει τα cookies ή να κατευθύνει τον χρήστη σε ιστοσελίδες phishing.

 

Ο ερευνητής δήλωσε ότι δοκίμασε την επίθεση σε Firefox (26.0), σε Ubuntu (12.04) και IE (9.0.15), με Windows 7 και δεν απαιτείται σύνδεση του χρήστη, όπως μπορείτε να δείτε στο βίντεο επίδειξης παρακάτω.

 

http://youtu.be/RekCK5tjXWQ

 

 

πηγή :
http://www.inzeed.com/kaleidoscope/computer-security/xss-%CE%BA%CE%AF%CE%BD%CE

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s