Anwendungsschwachstellen auf der offiziellen Website von The Weather Channel auszusetzen fast alle Links zu Cross-Site-Scripting-Angriffe kurzem wurde.
Die Entdeckung, dass über 75% der Webseiten, auf Weather.com wurden anfällig wurde von Wang Jin gemacht, ein Student an der Nanyang Technological University in Singapur.
Um ein Skript auszuführen, Der Angreifer muss einfach am Ende der URL von The Weather Channel hinzufügen, , erklärt Wang.
Die Erkenntnisse aus den Schüler wurden auf der Full Disclosure Forum gepostet. Er erklärte, er verwendet ein benutzerdefiniertes Tool, um zahlreiche Links auf weather.com testen, und sogar ein Video gepostet eines Angriffs.
Nach Angaben des Open Web Application Security-Projekt, Cross-Site Scripting wird an dritter Stelle der häufigsten Arten von Web-Anwendung Fehler im letzten Jahr auf Platz. Solche Schwachstellen angezeigt, wenn nicht vertrauenswürdige Daten wird von der Anwendung akzeptiert. Damit die App auf einem Web-Browser, ohne dass validieren umgeleitet.
Cross-Site Scripting ermöglicht es Cyberkriminellen, Skript im Browser des Opfers ausführen, in der Lage, Entführung Benutzersitzungen, Umleiten der Computer-Benutzer, um beschädigte Webseiten oder Unkenntlichmachung Webseiten.
Wang berichtet, dass der Angriff funktioniert, ohne dass ein Benutzer eingeloggt zu sein. Für seine Test-Angriff, er IE verwendet 9.0.15 unter Windows 7 und Firefox 26 auf Ubuntu 12.04.
