Segurança do site na América corporativa
Sites em toda a internet está fazendo o Harlem shake após comediantes on-line começaram a explorar site scripting (XSS) falhas transversais que fazem páginas dançar e alto-falantes clangor.
As falhas existem no registro de texto DNS - não o protocolo - devido à falta de saneamento, e permitiu scamps internet para transformar sites chatos como Who.is em um texto-oscilantes, festas dançantes-pisca na tela.
O titular do domínio que fora a dublê notou a falha e caiu <script> e <iframe> marcas em registros TXT, que foram carregados por Who.is e MxToolbox.
O tipo de registro pode armazenar texto arbitrário ligado a um domínio que seria executado de forma inadequada permitindo que hackers para puxar de ataques XSS.
"O protocolo DNS não é vulnerável neste caso - o ataque é o resultado de uma vulnerabilidade na aplicação web e como ele analisa os resultados da consulta DNS", disse o diretor-gerente NCC Group Asia Pacific Wade Alcorn.
"Um firewall de aplicação web não teria impedido este ataque. Este cenário reforça a necessidade de práticas de codificação seguras e que todas as entradas para um aplicativo deve defender contra os atacantes."
Who.is fixou a vulnerabilidade, mas MXtoolbox foi ainda Harlem Agitação no momento da escrita.
O ataque foi mais cômico do que complexo e demonstrou como sites populares como Who.Is ainda continha uma das falhas mais prolíficos na internet .
O vetor de ataque fez abrir meios para novos ataques que envolvem mais scripts e roubo de dados.
Alcorn lembrou ataques XSS que tornaram-mails e e mesmo aquelas que visam leitores de eBooks.
El Reg e outro usuário on-line ter capturado o trabalho XSS para o seu prazer. ®
Nenhum comentário:
Postar um comentário