Toepassing kwetsbaarheid op de officiële website van The Weather Channel bloot bijna alle schakels om cross-site scripting aanvallen is onlangs aangepakt.
De ontdekking dat boven 75% van de websites op Weather.com werden kwetsbaar werd gemaakt door Wang Jin, student aan de Nanyang Technological University in Singapore.
Om een script uit te voeren, de aanvaller heeft gewoon om het toe te voegen aan het einde van de URL van The Weather Channel, legt Wang.
De bevindingen van de studenten zijn geplaatst op de Full Disclosure forum. Hij verklaarde dat hij gebruikt een aangepaste tool om talrijke links op weather.com testen, en zelfs een video van een aanval geplaatst.
Volgens de Open Web Application Security Project, cross-site scripting wordt op de derde plaats van de meest voorkomende vormen van webapplicatie gebreken in het afgelopen jaar. Dergelijke kwetsbaarheden verschijnen als niet-vertrouwde gegevens door de toepassing wordt geaccepteerd. Op deze manier de app worden doorgestuurd naar een web browser, zonder te valideren.
Cross-site scripting laat cybercriminelen script in de browser van het slachtoffer uit te voeren, staat kapen gebruikerssessies, het ombuigen van de computergebruiker om beschadigde websites of beschadigen webpagina's.
Wang meldde dat de aanval werkte zonder een gebruiker ingelogd te zijn. Voor zijn test-aanval, hij gebruikte IE 9.0.15 Windows 7 en Firefox 26 op Ubuntu 12.04.
