شماره: IRCNE2014112385
تاريخ: 8/9/93
Weather.com يك آسيبپذيري امنيتي در برنامه وب خود را برطرف كرد كه تقريباً تمامي لينكها را در برابر حملات XSS آسيبپذير ميساخت.
يك دانشجوي دكتراي دانشگاه صنعتي نانيانگ سنگاپور به نام ونگ جين، كشف كرد كه بيش از 75% از صفحات وب در Wheather.com آسيبپذير بودهاند.
به گفته ونگ، مهاجمان فقط كافي است كه اسكريپت را به انتهاي URL كانال Weather اضافه كنند، سپس اين اسكريپتها اجرا ميشوند.
ونگ يافتههاي خود را در يك فروم ارسال كرده و نوشت كه اكنون اين مسأله ترميم شده است. وي نوشت كه دهها هزار لينك Weather.com را با استفاده از ابزاري تست كرده و ويدئويي كه اثبات كننده اين حمله است را ارسال كرد.
به گزارش Open Web Application Security Project (OWASP)، حملات XSS در سال گذشته سومين حمله معمول با استفاده از آسيبپذيريهاي برنامههاي وب بوده است. يك نقص امنيتي XSS زماني اتفاق ميافتد كه يك برنامه دادههاي غيرقابل اطمينان را پذيرفته و آن را بدون اعتبارسنجي به مرورگر وب ارسال ميكند.
بنا بر گزارش OWASP، XSS به مهاجمان اجازه ميدهد اسكريپتها را در مرورگر قرباني اجرا نمايند كه ميتواند منجر به سرقت session هاي كاربر، تغيير صورت وبسايتها يا انتقال كاربر به سايتهاي خرابكار گردد.
به گفته ونگ، اين حمله بدون لاگين كردن كاربر كار ميكرده است. وي اين حمله را با استفاده از فايرفاكس نسخه 26 در اوبونتو نسخه 12.04 و با اينترنت اكسپلورر نسخه 9.0.15 بر روي ويندوز 7 تست كرده است.
- 3