Τρίτη, 1 Δεκεμβρίου, 04:53
Αρχική security Οι Telegraph και Daily Mail διορθώνουν XSS ευπάθειες

Οι Telegraph και Daily Mail διορθώνουν XSS ευπάθειες

Ο ερευνητής ασφαλείας Jing Wang ανακάλυψε δύο ευπάθειες XSS στις ιστοσελίδες της Daily Mail και της The Telegraph, δύο διάσημες online εφημερίδες του Ηνωμένου Βασιλείου. Και οι δύο ευπάθειες τώρα έχουν ήδη διορθωθεί.

Οι Telegraph και Daily Mail διορθώνουν XSS ευπάθειες

Το πρώτο ζήτημα που ανακάλυψε ο Wang επηρέαζε την ιστοσελίδα της The Telegraph και πιο συγκεκριμένα της γκαλερί εικόνων της.

Οι επιτιθέμενοι, όπως ανακάλυψε ο Wang, θα ήταν σε θέση να εκτελέσουν κώδικα JavaScript προσαρτώντας κακόβουλο κώδικα στο τέλος του URL της γκαλερί εικόνων, μέσω των frame παραμέτρων, τα οποία, όπως στις περισσότερες περιπτώσεις επιθέσεων XSS, δεν ήταν αρκετά sanitized.

Η δεύτερη ευπάθεια ΧSS που βρήκε ήταν στην ιστοσελίδα της Daily Mail, μέσω της σελίδας «Αναφορά κατάχρησης σχολίου». Όπως και με το θέμα της The Telegraph, μια παράμετρος είχε μείνει unsanitazed, γεγονός το οποίο επέτρεπε στους επιτιθέμενους να εισάγουν κακόβουλο κώδικα στο τέλος του URL.

Ο Jing Wang αναφέρει ότι και οι δύο ευπάθειες ΧSS ήταν εκμεταλλεύσιμες, ακόμη και αν οι χρήστες δεν εισέρχονταν κατά τη στιγμή των επιθέσεων.

Μια δεύτερη, ασύνδετη ευπάθεια βρέθηκε, επιπλέον, στη σελίδα εγγραφής χρήστη της Daily Mail. Η σελίδα αυτή μαστίζεται από μία μη εξουσιοδοτημένη ανακατεύθυνση που επέτρεπε στους επιτιθέμενους να δημιουργήσουν κακόβουλα Daily Mail URLs που τελικά ανακατεύθυναν τους χρήστες σε άλλες σελίδες, οι οποίες θα μπορούσαν να έχουν χρησιμοποιηθεί για να φιλοξενήσουν adware, scareware ή ακόμη και να «προσφέρουν» πιο επικίνδυνα malware.

Ο Wang αναφέρει ότι το προσωπικό της Daily Mail διόρθωσε το σφάλμα XSS, αλλά το θέμα με την  ανακατεύθυνση είναι ακόμη παρόν.

Ακολοθούν βίντεο προς απόδειξη της θεωρίας για όλα τα bugs:

[su_youtube url=”https://www.youtube.com/watch?v=SqjlabJ1OzA” width=”740″]

[su_youtube url=”https://www.youtube.com/watch?v=AU-HJGe5BWE” width=”740″]

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Hackers από το Βιετνάμ χρησιμοποιούν νέο macOS backdoor

Οι ερευνητές της Trend Micro έχουν εντοπίσει ένα νέο macOS backdoor που πιστεύουν ότι χρησιμοποιείται από τη hacking ομάδα του Βιετνάμ, OceanLotus.

Διευθυντής εταιρείας μάρκετινγκ αποκλείστηκε απ’τα καθήκοντά του επειδή πραγματοποίησε ενοχλητικές κλήσεις

Στον διευθυντή μιας εταιρείας μάρκετινγκ απαγορεύτηκε να ασκήσει το επάγγελμά του σε αυτή την θέση για έξι χρόνια, καθώς φέρεται να πραγματοποίησε...

AstraZeneca: Βορειοκορεάτες hackers επιτέθηκαν στην εταιρεία

Το προσωπικό της βρετανικής εταιρείας βιοφαρμακευτικών προϊόντων AstraZeneca, η οποία διεξάγει κλινικές δοκιμές ενός εμβολίου για τον κορωνοϊό, που ανέπτυξε από κοινού...

Δύο στα επτά email που στάλθηκαν κατά το Black Friday ήταν κακόβουλα!

Ειδικοί ασφαλείας ανακοίνωσαν ότι δύο στα επτά email που στάλθηκαν την ημέρα του Black Friday ήταν κακόβουλα. Η Vade Secure ισχυρίζεται ότι...

Η APT ομάδα πίσω από την επιχείρηση Dark Caracal επέστρεψε με νέες επιθέσεις

Σύμφωνα με την Check Point, η APT ομάδα πίσω από την hacking επιχείρηση Dark Caracal επέστρεψε. Οι ερευνητές ασφαλείας της εταιρείας αποκάλυψαν...

Να συνεχίσω να χρησιμοποιώ τον Password Manager μου;

Στην εποχή μας, που ο καθένας διαθέτει πολλούς λογαριασμούς, η χρήση ενός Password Manager είναι ένα από τα καλύτερα πράγματα που μπορείτε...

Ιταλία: Χάκερς έκλεψαν 800.000€ από 35 ATM με Black Box επίθεση!

Χάκερς έκλεψαν χρήματα από τουλάχιστον 35 ATM που λειτουργούν σε τράπεζες στην Ιταλία, με μια νέα τεχνική Black Box επίθεσης. Οι καραμπινιέρι...

Hacker πουλά email credentials που ανήκουν σε υψηλόβαθμα στελέχη

Ένας hacker πουλά credentials για λογαριασμούς email που ανήκουν σε εκατοντάδες υψηλόβαθμα στελέχη (C-level) εταιρειών από όλο τον κόσμο.

Kaspersky: Μικρότερο το κόστος παραβιάσεων για επιχειρήσεις που είναι ειλικρινείς

Όπως αποκάλυψε μία νέα έρευνα της Kaspersky, όσες επιχειρήσεις αποκαλύπτουν ότι έπεσαν θύματα παραβίασης, έχουν 40% λιγότερες οικονομικές ζημιές.

Κομητεία της Πενσυλβάνια πλήρωσε 500.000$ λύτρα στους χάκερς του DoppelPaymer ransomware

Η κομητεία Ντέλαγουερ της Πενσυλβάνια πλήρωσε 500.000$ λύτρα σε χάκερς που μόλυναν τα συστήματά της με το DoppelPaymer ransomware το προηγούμενο Σαββατοκύριακο....