に
| Last Update:
|
0 コメントコメント
クロスサイトスクリプティング攻撃へのほぼすべてのリンクを公開しているTheWeatherChannelの公式Webサイトのアプリケーションの脆弱性が最近対処されました.
その発見 75% Weather.comのウェブサイトのうち脆弱なものはWangJinによって作成されました, シンガポールの南洋理工大学の学生.
スクリプトを実行するには, 攻撃者は、ウェザーチャンネルのURLの最後に追加するだけです。, 王は説明します.
学生が行った調査結果は、完全開示フォーラムに投稿されました. 彼は、カスタムツールを使用してweather.comの多数のリンクをテストしたと述べました。, 攻撃のビデオも投稿しました.
Open Web ApplicationSecurityProjectによると, クロスサイトスクリプティングは、過去1年間で最も一般的なタイプのWebアプリケーションの欠陥の中で3番目にランク付けされています. このような脆弱性は、信頼できないデータがアプリケーションによって受け入れられたときに発生します. このようにして、アプリは検証されずにWebブラウザーにリダイレクトされます.
クロスサイトスクリプティングにより、サイバー犯罪者は被害者のブラウザでスクリプトを実行できます, ユーザーセッションを乗っ取ることができる, コンピュータユーザーを破損したWebサイトにリダイレクトするか、Webページを改ざんする.
Wangは、ユーザーがログインしていなくても攻撃が機能したと報告しました. 彼のテスト攻撃のために, 彼はIEを使用しました 9.0.15 Windowsの場合 7 およびFirefox 26 Ubuntuで 12.04.
