RFID κάρτες: 12 τρόποι για να αποφύγετε το remote hack από κλέφτες!
infosec

RFID κάρτες: 12 τρόποι για να αποφύγετε το remote hack από κλέφτες!

Οι RFID κάρτες χρησιμοποιούν ραδιοσυχνότητες για τη μετάδοση δεδομένων. Οι καταναλωτές μπορούν να χρησιμοποιούν αυτές τις κάρτες για να πληρώσουν...
Read More
infosec

Η Apple προειδοποιεί πως τα iPhones έχουν ένα σοβαρό πρόβλημα

Η Apple προειδοποιεί πως η λειτουργία των iPhones θα αλλάξει με τα νέα updates που πλησιάζουν. Όσο η εταιρεία αγωνίζεται...
Read More
infosec

Κι άλλη παραβίαση δεδομένων στο Facebook: εκτέθηκαν φωτογραφίες 6,8 εκατομμυρίων χρηστών

Μία νέα παραβίαση δεδομένων στο Facebook, προέκυψε από ένα σφάλμα στο Photo API, το οποίο επέτρεψε σε προγραμματιστές εφαρμογών να...
Read More
infosec

Chromebook: Η εφαρμογή Family Link προστατεύει τα παιδία σας στο διαδίκτυο

Η Google εισήγαγε επιπλέον δυνατότητες ελέγχου στους φορητούς υπολογιστές Chromebook, στους οποίους οι γονείς θα μπορούν πλέον να ορίζουν χρονικά...
Read More
infosec

Brave: Επιλέγει Chromium όπως οι Google Chrome, Vivaldi, Opera, Edge

Το Chromium code base ανοιχτού κώδικα της Google κερδίζει σταθερά έδαφος. Μετά την απόφαση της Microsoft να το χρησιμοποιήσει για...
Read More
Latest Posts

Σχεδόν όλοι οι About.com σύνδεσμοι είναι ευάλωτοι σε XSS&XFS επιθέσεις

Ένας ανεξάρτητος ερευνητής ασφαλείας τέσταρε τις συνδέσεις και τα domains που σχετίζονται με το About.com και διαπίστωσε ότι σχεδόν όλα ήταν ευάλωτα σε επιθέσεις cross-site scripting (XSS) και cross-frame scripting (XFS, iframe injection).

Aboutcom Links XSS XFS Attacks
Το About.com είναι μία από τις μεγαλύτερα repositories περιεχομένου από εμπειρογνώμονες που προορίζονται να απαντήσουν σε ερωτήσεις σχετικά με θέματα για τα τρόφιμα, την υγεία, τα χρήματα και την τεχνολογία, την ψυχαγωγία, την καριέρα, την ανατροφή των παιδιών και του αθλητισμού. Περίπου 100 εκατομμύρια χρήστες αναζητούν πληροφορίες κάθε μήνα στην πύλη πληροφοριών.

Ο Wang Jing, ένας διδακτορικός φοιτητής στο Τεχνολογικό Πανεπιστήμιο Nanyang στη Σιγκαπούρη (Τομέας Μαθηματικών Επιστημών – MAS, Σχολή Φυσικών και Μαθηματικών Επιστημών), δημιούργησε ένα πρόγραμμα που χρησιμοποιείται για να ελέγξει 94.357 σύνδεσμους που συνδέονται με το About.com για κενά ασφαλείας.

Το αποτέλεσμα ήταν ότι «τουλάχιστον 99,875% των συνδέσμων είναι ευάλωτα σε επιθέσεις XSS και Iframe Injection».

Ο ερευνητής διαπίστωσε επίσης ότι το πεδίο αναζήτησης στην κεντρική σελίδα θα μπορούσε να χρησιμοποιηθεί σε επιθέσεις XSS και κατέληξε στο συμπέρασμα ότι όλα τα σχετικά πεδία επίσης φέρουν την ίδια ευπάθεια.

Οι XSS ευπάθειες είναι από τις πιο συνηθισμένες στο διαδίκτυο, αλλά είναι επίσης και οι πιο επικίνδυνες καθώς η αξιοποίησή τους μπορεί να οδηγήσει σε κλοπή πληροφοριών του χρήστη, όπως τα cookies συνεδρίας και τα δεδομένα σύνδεσης. Αυτό συμβαίνει με την αποστολή στο θύμα ένος ειδικά δημιουργημένου συνδέσμου ο οποίος περιέχει εντολές που επιτρέπουν την πρόσβαση στο περιεχόμενο του χρήστη στον browser.

Για μια επιτυχημένη επίθεση XFS (iframe injection), πληροφορίες από τον έναν τομέα πρέπει να έχουν πρόσβαση σε πόρους από διαφορετικό τομέα. Ωστόσο, οι web browsers ενσωματώνουν αυτό που ονομάζεται same-origin policy (SOP), η οποία εμποδίζει την ανάμειξη πληροφοριών από διαφορετικές προελεύσεις.

Ως εκ τούτου, εκτός εάν το πρόγραμμα περιήγησης έχει ένα κενό ασφαλείας τύπου SOP, όπως αυτό που αναφέρθηκε για τον Internet Explorer, η επίθεση XFS είναι ανεπιτυχής.

Ο Jing δήλωσε σε ένα blog post τη Δευτέρα ότι ανέφερε τα ευρήματά του στο About.com στις 19 Οκτ 2014, αλλά δεν έλαβε καμία απάντηση. Ισχυρίζεται, επίσης, ότι η δεν έχει ακόμα εφαρμοστεί ενημέρωση ασφάλειας.

Ωστόσο, οι web browsers που χρησιμοποίησε ο ερευνητής στις δοκιμές του (IE 10, Firefox 34 και 36, και Chromium 39) είναι πλέον outdated.

Οι δοκιμές των proof-of-concepts που παρέχονται από τον Jing στον IE 11 και τις πιο πρόσφατες εκδόσεις του Firefox και Google Chrome είτε παράγουν σφάλμα 404 (η σελίδα δεν βρέθηκε) ή πυροδοτεί μια ειδοποίηση από το About.com που ενημερώνει σχετικά με την κακόβουλη προσπάθεια, γεγονός που υποδηλώνει ότι οι διαχειριστές έχουν ήδη εργαστεί για την προστασία των επισκεπτών.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *