La vulnerabilità dell'applicazione sul sito ufficiale di The Weather Channel esponendo quasi tutti i link agli attacchi cross-site scripting è stato affrontato di recente.
La scoperta che oltre 75% dei siti web su Weather.com sono vulnerabili è stata fatta da Wang Jin, uno studente presso l'Università Tecnologica Nanyang di Singapore.
Per eseguire uno script, l'attaccante deve semplicemente aggiungere alla fine dell'URL di The Weather Channel, spiega Wang.
Le constatazioni fatte lo studente sono stati pubblicati sul forum Full Disclosure. Ha dichiarato che ha usato uno strumento personalizzato per testare numerosi link su weather.com, e anche pubblicato un video di un attacco.
Secondo il progetto Open Web Application Security, scripting cross-site è classificato al terzo posto tra i tipi più comuni di difetti di applicazioni web in passato anno. Tali vulnerabilità appaiono quando i dati non attendibile è accettato dall'applicazione. In questo modo l'applicazione viene reindirizzato a un browser web senza essere convalidato.
Cross-site scripting permette ai cybercriminali di eseguire lo script nel browser della vittima, capace di sessioni utente dirottamento, reindirizzare l'utente del computer ai siti corrotti o deturpare pagine web.
Wang ha riferito che l'attacco ha funzionato senza un utente viene registrato in. Per il suo test-attacco, ha usato IE 9.0.15 su Windows 7 e Firefox 26 su Ubuntu 12.04.
