IT 技术
计算机
网络
安全漏洞
网站优化


琐事,日常之事:

IT 计算机信息网络安全技术:

About Group 超过 99.88% 的链接容易遭受 XSS 和 XFS 攻击


About Group 网站有一个严重的网络安全问题,它容易遭受 XSS (跨站脚本漏洞) XFS (跨Frame脚本漏洞)。这对它的近10亿月访问用户是灾难和毁灭性的。


根据漏洞研究者发布的结果POC视频,所有About.com的话题(子域名)都可以被攻击者利用。


新加坡南洋理工大学 (NTU) 数学和物理学院 (SPMS) 数学系 (MAS) 的王晶 (Wang Jing) 发布了这个严重的安全漏洞。王晶声称在2014年10月19号,他向 About Group 做了报告,但是迄今为止一直没有收到回复。漏洞的发布时间是2015年2月2号。“到现在为止,漏洞还没有被修复” 王晶说。


与此同时,王晶披露 About.com 主页面的搜索域也容易遭受 XSS 攻击。除此之外,他还发布了一些 About.com 的公开重定向漏洞 (Open Redirect). 王说他的测试是在 Windows 8 的 IE (10.0.9200.16750) 和 Mozilla 的 Firefox (34.0), Ubuntu (14.04) 的 Google Chromium 39.0.2171.65-0, 以及 Mac OS X Lion 10.7 的 Apple Safari 6.1.6 上进行的。


XSS (Cross-site Scripting) 可以用来窃取用户信息,控制用户浏览器,和进行 DOS (Denial of Service) 攻击。 XFS (Cross-frame Scripting) 也叫 iFrame Injection,可以修改用户浏览器页面内容。


在发布漏洞的同时,王晶还说明因为 About Group 的普遍性,它的漏洞可以用来对其他网站进行隐蔽重定向攻击 (Covert Redirect);XFS 则可以用来对计算机和网络进行 DDOS (Distributed Denial of Service) 黑客攻击。这些漏洞发布在著名漏洞平台 Full-Disclosure 上和他的个人博客上。


王晶是一名学生安全研究人员。他发布了包括谷歌,脸书,亚马逊,阿里巴巴等很多公司网站的重要漏洞以及大量网络应用程序的补丁。





相关新闻:

http://www.zdnet.com/article/over-99-percent-of-about-com-links-vulnerable-to-xss-xfs-iframe-attack/

http://www.securityweek.com/xss-xfs-open-redirect-vulnerabilities-found-aboutcom

http://securityaffairs.co/wordpress/33070/hacking/com-affected-xss-xfs-open-redirect-vulnerabilities-since-october-2014.html

http://packetstormsecurity.com/files/130211/About.com-Cross-Site-Scripting.html

http://www.zoomit.ir/it-news/security/17394-about-com-links-vulnerable-to-xss-xfs

http://itsecurity.lofter.com/post/1cfbf9e7_6f05a63

http://tetraph.com/covert_redirect/oauth2_openid_covert_redirect.html

http://securitypost.tumblr.com/post/118837857592/about-group-99-88-xss-xfs-about

http://www.inzeed.com/kaleidoscope/computer-security/about-group-xss-xfs/

https://www.secnews.gr/99percent-about-xss-xfs-attack-exploit

http://www.decomoadesinstalar.com/abrir-codigo-iframe-xss-xfs-ataque-mas-del-99-por

http://permalink.gmane.org/gmane.comp.security.fulldisclosure/1547

http://www.40kalagh.net/about-grope-xss-and-xfs

http://blog.norsecorp.com/2015/02/03/about-com-platform-rife-with-xss-and-iframe-injection-vulnerabilities/

    
评论
热度 ( 24 )
  1. 谷雨 醉心 冬小麦IT 计算机信息网络安全技术 转载了此图片
  2. 點滴的記錄IT 计算机信息网络安全技术 转载了此图片
  3. 琐事,日常之事IT 计算机信息网络安全技术 转载了此图片
  4. 白帽子安全行者路上有風有雨有彩虹 转载了此图片  到 竹意
  5. 白帽子安全行者路上有風有雨有彩虹 转载了此图片  到 测试想法
  6. 白帽子安全行者路上有風有雨有彩虹 转载了此图片  到 湛天雲海碧波影
  7. 白帽子安全行者路上有風有雨有彩虹 转载了此图片  到 文豆 & 文库
  8. 白帽子安全行者路上有風有雨有彩虹 转载了此图片
  9. 计算机网络技术琐事,日常之事 转载了此图片  到 行者路上有風有雨有彩虹
  10. 计算机网络技术琐事,日常之事 转载了此图片  到 绿意蛙鸣
  11. 计算机网络技术琐事,日常之事 转载了此图片  到 IT 计算机&信息网络 技术
  12. 计算机网络技术琐事,日常之事 转载了此图片

© IT 计算机&信息网络 技术 | Powered by LOFTER