Hacked από Ινδούς το website του Υπουργείου Εξωτερικών του Πακιστάν
infosec

Hacked από Ινδούς το website του Υπουργείου Εξωτερικών του Πακιστάν

Εν μέσω έντονων εντάσεων μεταξύ Ινδίας και Πακιστάν μετά από τη θανατηφόρα επίθεση Pulwama στις 14 Φεβρουαρίου, το Σάββατο, ο...
Read More
infosec

Η Google προσπαθεί να προστατεύσει το password σας από hackers

Οι μαζικές παραβιάσεις των password είναι πάρα πολύ συνηθισμένες αυτές τις μέρες. Γι’ αυτό η Google προσπαθεί να επιδιορθώσει το...
Read More
infosec

Instagram: Bug επηρεάζει τους λογαριασμούς των Kylie Jenner, Ariana Grande και Selena Gomez

Bug στο Instagram κατέστησε τους λογαριασμούς της Kylie Jenner και των τραγουδιστριών Ariana Grande και Selena Gomez κατά 3 εκατομμύρια...
Read More
infosec

Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS

Ερευνητές ασφαλείας, ανακάλυψαν πολλά αρχεία Windows EXE, που χρησιμοποιούν κακόβουλα payloads για να μολύνουν τους χρήστες macOS με infostealers και...
Read More
infosec

Πώς ένα VPN βοηθά στην προστασία της ιδιωτικότητάς σας στο διαδίκτυο

Τον τελευταίο καιρό ακούγεται ότι εκατομμύρια κωδικοί πρόσβασης σε ιστοσελίδες παραβιάζονται ενώ ταυτόχρονα οι πάροχοι υπηρεσιών στο διαδίκτυο έχουν την...
Read More
Latest Posts

Σχεδόν όλοι οι About.com σύνδεσμοι είναι ευάλωτοι σε XSS&XFS επιθέσεις

Ένας ανεξάρτητος ερευνητής ασφαλείας τέσταρε τις συνδέσεις και τα domains που σχετίζονται με το About.com και διαπίστωσε ότι σχεδόν όλα ήταν ευάλωτα σε επιθέσεις cross-site scripting (XSS) και cross-frame scripting (XFS, iframe injection).

Aboutcom Links XSS XFS Attacks
Το About.com είναι μία από τις μεγαλύτερα repositories περιεχομένου από εμπειρογνώμονες που προορίζονται να απαντήσουν σε ερωτήσεις σχετικά με θέματα για τα τρόφιμα, την υγεία, τα χρήματα και την τεχνολογία, την ψυχαγωγία, την καριέρα, την ανατροφή των παιδιών και του αθλητισμού. Περίπου 100 εκατομμύρια χρήστες αναζητούν πληροφορίες κάθε μήνα στην πύλη πληροφοριών.

Ο Wang Jing, ένας διδακτορικός φοιτητής στο Τεχνολογικό Πανεπιστήμιο Nanyang στη Σιγκαπούρη (Τομέας Μαθηματικών Επιστημών – MAS, Σχολή Φυσικών και Μαθηματικών Επιστημών), δημιούργησε ένα πρόγραμμα που χρησιμοποιείται για να ελέγξει 94.357 σύνδεσμους που συνδέονται με το About.com για κενά ασφαλείας.

Το αποτέλεσμα ήταν ότι “τουλάχιστον 99,875% των συνδέσμων είναι ευάλωτα σε επιθέσεις XSS και Iframe Injection”.

Ο ερευνητής διαπίστωσε επίσης ότι το πεδίο αναζήτησης στην κεντρική σελίδα θα μπορούσε να χρησιμοποιηθεί σε επιθέσεις XSS και κατέληξε στο συμπέρασμα ότι όλα τα σχετικά πεδία επίσης φέρουν την ίδια ευπάθεια.

Οι XSS ευπάθειες είναι από τις πιο συνηθισμένες στο διαδίκτυο, αλλά είναι επίσης και οι πιο επικίνδυνες καθώς η αξιοποίησή τους μπορεί να οδηγήσει σε κλοπή πληροφοριών του χρήστη, όπως τα cookies συνεδρίας και τα δεδομένα σύνδεσης. Αυτό συμβαίνει με την αποστολή στο θύμα ένος ειδικά δημιουργημένου συνδέσμου ο οποίος περιέχει εντολές που επιτρέπουν την πρόσβαση στο περιεχόμενο του χρήστη στον browser.

Για μια επιτυχημένη επίθεση XFS (iframe injection), πληροφορίες από τον έναν τομέα πρέπει να έχουν πρόσβαση σε πόρους από διαφορετικό τομέα. Ωστόσο, οι web browsers ενσωματώνουν αυτό που ονομάζεται same-origin policy (SOP), η οποία εμποδίζει την ανάμειξη πληροφοριών από διαφορετικές προελεύσεις.

Ως εκ τούτου, εκτός εάν το πρόγραμμα περιήγησης έχει ένα κενό ασφαλείας τύπου SOP, όπως αυτό που αναφέρθηκε για τον Internet Explorer, η επίθεση XFS είναι ανεπιτυχής.

Ο Jing δήλωσε σε ένα blog post τη Δευτέρα ότι ανέφερε τα ευρήματά του στο About.com στις 19 Οκτ 2014, αλλά δεν έλαβε καμία απάντηση. Ισχυρίζεται, επίσης, ότι η δεν έχει ακόμα εφαρμοστεί ενημέρωση ασφάλειας.

Ωστόσο, οι web browsers που χρησιμοποίησε ο ερευνητής στις δοκιμές του (IE 10, Firefox 34 και 36, και Chromium 39) είναι πλέον outdated.

Οι δοκιμές των proof-of-concepts που παρέχονται από τον Jing στον IE 11 και τις πιο πρόσφατες εκδόσεις του Firefox και Google Chrome είτε παράγουν σφάλμα 404 (η σελίδα δεν βρέθηκε) ή πυροδοτεί μια ειδοποίηση από το About.com που ενημερώνει σχετικά με την κακόβουλη προσπάθεια, γεγονός που υποδηλώνει ότι οι διαχειριστές έχουν ήδη εργαστεί για την προστασία των επισκεπτών.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *