Internet Security Threat Report 2014
The Weather Channel represou um aguaceiro de vulnerabilidades cross-site-scripting que embebidas três quartos dos links no site popular, diz bod segurança Wang Jin.
O site recebeu um tsunami de tráfego com mais de um bilhão de visitantes únicos verificar em cada mês de acordo com Drupal , que observou que era o "site Drupal maior traficadas na existência".
Wang Jin, um estudante de doutorado na Universidade Tecnológica de Nanyang, relatou as condições precárias para os administradores do site que fecharam os buracos básicos que afetam dezenas de milhares de ligações final de novembro.
Jin disse que os atacantes poderiam ter chicoteado até uma tempestade scripting contra os visitantes.
"Quase todos os links sob o domínio weather.com são (eram) vulnerável a ataques XSS", disse Jin em um comunicado.
"Os invasores só precisa adicionar script no final de URLs do Tempo do Canal [e] em seguida, os scripts serão executados.
"A razão de (sic) esta vulnerabilidade é que Weather Channel usa URLs para construir suas marcas sem filtrar códigos script malicioso."
Jin disse que 76,3 por cento das ligações foram encontrados vulneráveis usando sua ferramenta de segurança homebrew.
Cross-Site Scripting falhas permitem que os scripts para ser injetado em aplicações web onde a validação é frouxa. Ele foi o terceiro mais comum falha app web e um dos pilares da OWASP Top Ten . ®
Nenhum comentário:
Postar um comentário