ΑρχικήsecurityΕντοπίστηκαν XSS ευπάθειες στο Weather Channel

Εντοπίστηκαν XSS ευπάθειες στο Weather Channel

Weather Channel

Ευπάθειες cross-site scripting εντοπίστηκαν στο “The Weather Channel” που επηρρέαζαν τα τρία τέταρτα των συνδέσεων στο δημοφιλές site.

Η ιστοσελίδα είχε πολύ μεγάλο traffic και δεχόταν περισσότερους από ένα δισεκατομμύριο μοναδικούς επισκέπτες σε κάθε μήνα, σύμφωνα με το Drupal που σημείωσε ότι ήταν “η μεγαλύτερη σε επισκεψιμότητα ιστοσελίδα του Drupal”.

Ο Wang Jin, ένας διδακτορικός φοιτητής στο Τεχνολογικό Πανεπιστήμιο Nanyang, εντόπισε και ανέφερε τα τρωτά σημεία της ιστοσελίδας στους διαχειριστές οι οποίοι τελικά επιδιόρθωσαν τα κενά ασφάλειας που επηρέαζαν δεκάδες χιλιάδες συνδέσεις στα τέλη Νοεμβρίου.

Ο Jin είπε ότι οι επιτιθέμενοι θα μπορούσαν να έχουν πραγματοποιήσει μια scripting επίθεση ενάντια στους επισκέπτες της ιστοσελίδας.

“Σχεδόν όλοι οι σύνδεσμοι του τομέα weather.com είναι (ήταν) ευάλωτοι σε επιθέσεις XSS,” δήλωσε ο Jin.

“Οι επιτιθέμενοι απλά θα έπρεπε να προσθέσουν ένα script στο τέλος των διευθύνσεων URL του The Weather Channel και στη συνέχεια τα scripts θα εκτελούνταν”.

“Η ευπάθεια υπάρχει διότι το The Weather Channel χρησιμοποιεί διευθύνσεις URL για τα tags του, χωρίς να φιλτράρει τον κακόβουλο script κώδικα”.

Ο Jin δήλωσε ότι το 76.3 τοις εκατό των συνδέσμων βρέθηκαν ευάλωτοι χρησιμοποιώντας ένα δικό του εργαλείο ασφάλειας.

Οι cross-site scripting ευπάθειες επιτρέπουν την εισαγωγή scripts web εφαρμογές όπου το validation είναι αδύναμο. Ήταν η τρίτο πιο κοινό ευπάθεια σε διαδικτυακές εφαρμογές σύμφωνα με το OWASP Top Ten.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS