A vulnerabilidade do aplicativo no site oficial do The Weather Channel, expondo quase todos os links para ataques de script entre sites, foi abordada recentemente.
A descoberta de que acabou 75% dos sites em Weather.com estavam vulneráveis foi feito por Wang Jin, estudante da Universidade Tecnológica de Nanyang em Cingapura.
Para executar um script, o invasor simplesmente precisa adicioná-lo ao final da URL do The Weather Channel, explica Wang.
As descobertas feitas pelo aluno foram postadas no fórum Full Disclosure. Ele afirmou que usou uma ferramenta personalizada para testar vários links em weather.com, e até postou um vídeo de um ataque.
De acordo com o Open Web Application Security Project, cross-site scripting é classificado em terceiro lugar entre os tipos mais comuns de falhas de aplicativos da web no ano passado. Essas vulnerabilidades aparecem quando dados não confiáveis são aceitos pelo aplicativo. Dessa forma, o aplicativo é redirecionado para um navegador da web sem ser validado.
Cross-site scripting permite que cibercriminosos executem scripts no navegador da vítima, capaz de sequestrar sessões de usuário, redirecionar o usuário do computador para sites corrompidos ou desfigurar páginas da web.
Wang relatou que o ataque funcionou sem um usuário conectado. Para seu ataque-teste, ele usou o IE 9.0.15 no Windows 7 e Firefox 26 no Ubuntu 12.04.
