فا

‫ Weather.com نقايص امنيتي برنامه وب خود را ترميم كرد

شماره: IRCNE2014112385
تاريخ: 8/9/93
 
Weather.com يك آسيب‌پذيري امنيتي در برنامه وب خود را برطرف كرد كه تقريباً تمامي لينك‌ها را در برابر حملات XSS آسيب‌پذير مي‌ساخت.
يك دانشجوي دكتراي دانشگاه صنعتي نانيانگ سنگاپور به نام ونگ جين، كشف كرد كه بيش از 75% از صفحات وب در Wheather.com آسيب‌پذير بوده‌اند.
به گفته ونگ، مهاجمان فقط كافي است كه اسكريپت را به انتهاي URL كانال Weather اضافه كنند، سپس اين اسكريپت‌ها اجرا مي‌شوند.
ونگ يافته‌هاي خود را در يك فروم ارسال كرده و نوشت كه اكنون اين مسأله ترميم شده است. وي نوشت كه ده‌ها هزار لينك Weather.com را با استفاده از ابزاري تست كرده و ويدئويي كه اثبات كننده اين حمله است را ارسال كرد.
به گزارش Open Web Application Security Project (OWASP)، حملات XSS در سال گذشته سومين حمله معمول با استفاده از آسيب‌پذيري‌هاي برنامه‌هاي وب بوده است.  يك نقص امنيتي XSS زماني اتفاق مي‌افتد كه يك برنامه داده‌هاي غيرقابل اطمينان را پذيرفته و آن را بدون اعتبارسنجي به مرورگر وب ارسال مي‌كند.
بنا بر گزارش OWASP، XSS به مهاجمان اجازه مي‌دهد اسكريپت‌ها را در مرورگر قرباني اجرا نمايند كه مي‌تواند منجر به سرقت session هاي كاربر، تغيير صورت وب‌سايت‌ها يا انتقال كاربر به سايت‌هاي خرابكار گردد.
به گفته ونگ، اين حمله بدون لاگين كردن كاربر كار مي‌كرده است. وي اين حمله را با استفاده از فايرفاكس نسخه 26 در اوبونتو نسخه 12.04 و با اينترنت اكسپلورر نسخه 9.0.15 بر روي ويندوز 7 تست كرده است.
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 8 آذر 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0