la vulnérabilité de l'application sur le site officiel de The Weather Channel exposer presque tous les liens vers des attaques cross-site scripting a été adressée récemment.
La découverte que plus 75% des sites Web sur Weather.com étaient vulnérables a été faite par Wang Jin, un étudiant à l'Université technologique de Nanyang à Singapour.
Pour exécuter un script, l'attaquant doit simplement ajouter à la fin de l'URL de The Weather Channel, explique Wang.
Les constatations faites l'étudiant ont été affichés sur le forum Divulgation complète. Il a déclaré qu'il a utilisé un outil personnalisé pour tester de nombreux liens sur weather.com, et même posté une vidéo d'une attaque.
Selon le projet Open Web Application Security, cross-site scripting est classée au troisième rang parmi les types les plus courants de défauts d'applications Web dans l'année écoulée. Ces vulnérabilités apparaissent lorsque les données non fiable est acceptée par l'application. De cette façon, l'application est redirigé vers un navigateur Web sans être validé.
Cross-site scripting permet cybercriminels pour exécuter du script dans le navigateur de la victime, capable de sessions utilisateur de détournement, redirigeant l'utilisateur d'ordinateur à des sites Web corrompus ou faire disparaître des pages Web.
Wang a indiqué que l'attaque a fonctionné sans un utilisateur étant connecté. Pour son test-attaque, il a utilisé IE 9.0.15 sur Windows 7 et Firefox 26 sur Ubuntu 12.04.
