测试想法

测试需要的功能
技术
是否工作

Tous les liens vers les articles du New York Times

行者路上有風有雨有彩虹:

谷雨 醉心 冬小麦:

日常生活點滴的記錄:

Tous les liens vers les articles du New York Times Avant 2013 vulnérable aux attaques XSS



URL vers des articles dans le New York Times (NYT) publiés avant 2013 ont été trouvés à être vulnérables à un (cross-site scripting) attaque XSS capable de fournir le code doit être exécuté dans le contexte du navigateur web.


Basé sur la conception de NYTimes, Presque toutes les URL avant 2013 sont affectés (Toutes les pages d'articles). En fait, toutes les pages d'articles qui contiennent bouton "Imprimer", "PAGE SINGLE" bouton "page *" bouton, le bouton "Page suivante" sont touchés.

Nytimes changé ce mécanisme depuis 2013. Il décode les URL envoyées à son serveur. Cela rend le mécanisme beaucoup plus en sécurité maintenant.

Cependant, toutes les URL avant 2013 utilisent encore l'ancien mécanisme. Cela signifie presque toutes les pages de l'article avant 2013 sont encore vulnérables à des attaques XSS. Je suppose que la raison NYTimes ne filtre pas avant URL est le coût. Ça coûte trop cher (de l'argent et le capital humain) pour changer la base de données de tous les articles publiés auparavant.

 






La vulnérabilité a été trouvé par un étudiant de doctorat en mathématiques Wang Jing de l'École de sciences physiques et mathématiques (SPMS), Université technologique de Nanyang, à Singapour.

POC et Blog explication donnée par Wang,
https://www.youtube.com/watch?v=RekCK5tjXWQ
http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/



Pendant ce temps, Wang a dit que "Le New York Times a adopté un nouveau mécanisme maintenant. Ce est un meilleur mécanisme de protection."




Même si les articles sont vieux, les pages sont toujours d'actualité
Une attaque sur les articles les plus récents aurait certainement eu un impact significatif, mais les articles de 2012 ou même plus sont loin d'être obsolète. Ils seraient toujours pertinente dans le contexte d'une attaque.

Les cybercriminels peuvent concevoir plusieurs façons d'envoyer le lien aux victimes potentielles et d'enregistrer des taux de réussite élevés, toutes les attaques ciblées plus avec.



Quel est XSS?
Cross-site scripting (XSS) est un type de vulnérabilité de la sécurité informatique trouve généralement dans les applications Web. XSS permet aux pirates d'injecter un script côté client dans des pages Web consultées par les autres utilisateurs. Un cross-site scripting vulnérabilité peut être utilisée par des attaquants afin de contourner les contrôles d'accès tels que la politique de même origine. Cross-site scripting effectué sur des sites Web a représenté environ 84% de toutes les vulnérabilités de sécurité documentés par Symantec à partir de 2007. (Wikipedia)





références:

http://securitynewswire.com/securitynews2012/article.php?title=XSS_Risk_Found_in_Links_to_New_York_Times_Articles_Prior_to_2013

http://www.veooz.com/news/FHb0__Q.html

http://www.tomsguide.com/us/xss-flaw-ny-times,news-19784.html

http://www.hotforsecurity.com/blog/cross-site-scripting-xss-vulnerability-in-new-york-times-articles-before-2013-10555.html

http://news.softpedia.com/news/XSS-Risk-Found-In-Links-to-New-York-Times-Articles-Prior-to-2013-462334.shtml

http://itsecuritynews.info/tag/wang-jing/

http://www.hellasforce.com/blog/xss-kindini-entopistikan-se-sindesmous-sto-new-york-times-se-arthra-prin-2013/

http://telezkope.com/Technology/Programming/3321242/cross-site-scripting-xss-vulnerability-in-new-york-times-articles-before-2013

http://news.silobreaker.com/google-doubleclicknetadvertising-system-url-redirection-vulnerabilities-can-be-used-by-spammers-5_2268368584637939712

http://worldnew.org/xss-flaw-may-exist-in-the-old-new-york-times-article-pages.html

http://tetraph.wordpress.com/2014/11/01/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-before-2013-are-affected/

http://tetraph.tumblr.com/post/101472580032/new-york-times-nytimes-com-page-design-xss

http://www.inzeed.com/kaleidoscope/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

http://diebiyi.com/articles/%E5%AE%89%E5%85%A8/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

http://securityrelated.blogspot.sg/2014/10/new-york-times-nytimescom-page-design.html?view=mosaic



   

评论

热度(7)

  1. 白帽子安全行者路上有風有雨有彩虹 转载了此文字  到 测试想法
  2. 计算机网络技术谷雨 醉心 冬小麦 转载了此文字  到 行者路上有風有雨有彩虹
  3. 琐事,日常之事谷雨 醉心 冬小麦 转载了此文字