测试想法

测试需要的功能
技术
是否工作

紐約時報所有2013年前舊文章XSS漏洞

行者路上有風有雨有彩虹:

谷雨 醉心 冬小麦:

日常生活點滴的記錄:

紐約時報所有2013年前舊文章XSS漏洞
 
 

 

跨站腳本攻擊(Cross Site Scripting),為不和層疊洋式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面裏插入惡意html代碼,當用護瀏覽該頁之時,嵌入其中Web裏面的html 代碼會被執行,從而達到惡意攻擊用護的特殊目的。


 

新加坡南洋理工大學物理和數學科學學院博士生王晶(Wang Jing)發現,紐約時報所有2013年前的文章都可已用來攻擊。“2013年前所有包含“PRINT”,”SINGLE PAGE”, “Page” 和“NEXT PAGE” 按鈕的文章都有此漏洞“。


      



當被問及漏洞的重要性時,王晶回答“對XSS攻擊而言,非常重要的壹件事情是如何說服受害者點擊URL。因為所有的舊文章都可已用來攻擊,所有用護非常容易遭受攻擊“。



研究者王發布了壹個POC視頻和博客說明:

https://www.youtube.com/watch?v=RekCK5tjXWQ

http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

 

王同時說明,紐約時報現在采取了壹種更安全的機制,這種機制不再遭受XSS攻擊。



發布在2013年前的文章是否重要?
問前還是非常嚴重的,因為所有 紐約時報2013年前的文章還在被大量引用。 據此產生的流量也非常大。所以此漏洞及易使紐約時報用護和其他合作者遭受攻擊。
 
XSS 攻擊後果?
漏洞的危害取抉於攻擊代碼的威力,攻擊代碼也不局限於script。 用護可以被竊取個人資料,重定向到其他頁面等。
 
 
 


參考文章:

http://securitynewswire.com/securitynews2012/article.php?title=XSS_Risk_Found_in_Links_to_New_York_Times_Articles_Prior_to_2013

http://www.veooz.com/news/FHb0__Q.html

http://www.tomsguide.com/us/xss-flaw-ny-times,news-19784.html

http://www.hotforsecurity.com/blog/cross-site-scripting-xss-vulnerability-in-new-york-times-articles-before-2013-10555.html

http://news.softpedia.com/news/XSS-Risk-Found-In-Links-to-New-York-Times-Articles-Prior-to-2013-462334.shtml

http://itsecuritynews.info/tag/wang-jing/

http://www.hellasforce.com/blog/xss-kindini-entopistikan-se-sindesmous-sto-new-york-times-se-arthra-prin-2013/

http://telezkope.com/Technology/Programming/3321242/cross-site-scripting-xss-vulnerability-in-new-york-times-articles-before-2013

http://news.silobreaker.com/google-doubleclicknetadvertising-system-url-redirection-vulnerabilities-can-be-used-by-spammers-5_2268368584637939712

http://worldnew.org/xss-flaw-may-exist-in-the-old-new-york-times-article-pages.html

http://tetraph.wordpress.com/2014/11/01/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-before-2013-are-affected/


评论

热度(7)

  1. 白帽子安全行者路上有風有雨有彩虹 转载了此文字  到 测试想法
  2. 计算机网络技术谷雨 醉心 冬小麦 转载了此文字  到 行者路上有風有雨有彩虹
  3. 琐事,日常之事谷雨 醉心 冬小麦 转载了此文字