Sårbarhed Anvendelse på den officielle hjemmeside for The Weather Channel udsætte næsten alle links til cross-site scripting-angreb er blevet behandlet for nylig.
Opdagelsen, at over 75% af de hjemmesider på Weather.com var sårbare blev foretaget af Wang Jin, studerende på Nanyang Technological University i Singapore.
For at udføre et script, angriberen simpelthen er nødt til at tilføje det i slutningen af webadressen på The Weather Channel, forklarer Wang.
De foreløbige undersøgelsesresultater eleven blev lagt ud på Full Disclosure forum. Han erklærede, at han brugte en brugerdefineret værktøj til at teste en lang række links på weather.com, og selv lagt en video af et angreb.
Ifølge Open Web Application Security Project, cross-site scripting er rangeret tredje blandt de mest almindelige typer af web-applikation fejl i det forløbne år. Sådanne sårbarheder vises, når der ikke er tillid data accepteres af ansøgningen. På den måde app er omdirigeret til en webbrowser uden at blive valideret.
Cross-site scripting tillader cyberkriminelle at udføre script i browseren af offeret, stand kapring brugersessioner, omdirigere computerbrugere til beskadigede hjemmesider eller gøres ulæselige websider.
Wang rapporterede, at angrebet arbejdet uden en bruger, der er logget ind. For hans test-angreb, han brugte IE 9.0.15 på Windows 7 og Firefox 26 på Ubuntu 12.04.
