Över 99 procent av About.com länkar utsatta för XSS, XFS iframe attack

About.com har ett stort säkerhetsproblem, men det är troligt värre för över 98 miljoner månatliga besökare till Om koncernens olika ämnesspecifika domäner.

Som stora uppgifter, sakernas internet, och sociala medier sprida sina vingar, de få nya utmaningar för informationssäkerhet och användarnas personliga integritet.

En säkerhetsforskare avslöjas måndagen att “åtminstone 99,88%” av alla ämneslänkar och alla domäner med anknytning till About.com är sårbara för att öppna XSS (Cross Site Scripting) och Iframe injektion (Cross Frame Scripting, XFS) attacker.

Enligt forskarens fynd och proof-of-concept resultat, alla underdomäner av About.com påverkas.

Wang Jing, Avdelningen för matematiska vetenskaper (MAS), Institutionen för fysikalisk och Matematik (SPMS) vid Nanyang Technological University (NTU) i Singapore avslöjas de massiva sårbarheter – i huvudsak angriper vektorer som About.com distribuerar sina ovetande besökare – på söndag, 19 oktober, 2014 men Jing fick inget svar.

Fram till nu “, sade han vid tidpunkten för hans offentliggöranden Måndag den 2 februari – över tre månader senare -” de är fortfarande unpatched.

Jing tillade “Samtidigt är det About.com huvud sidans sökfält sårbara för XSS-attacker också. Det innebär att alla domäner med anknytning till About.com är sårbara för XSS-attacker.”

Eftersom About.com är betrodd av några andra webbplatser, kan sårbarheter användas för att utföra “Covert omdirigering attacker till andra webbplatser.

XSS är noterad i OWASP s 2013 topp 10 av det onda, eller snarare, 2013 Top Ten Application säkerhetsrisker.

Eftersom dessa typer av attacker gå efter användaren snarare än en server eller ett program, sårbarheten på campingdelacaille.com ‘s domäner sätta alla besökare i riskzonen för attacker som kan stjäla data (som cookie-information, sparade inloggningar och identitetsstöld), ta kontroll över en användarsession i en annan flik, köra skadlig kod (även på din router), tillgång innehållet i Urklipp, få tillgång till gratis eller betald innehåll, tillgång till nätverket, eller användas som en del av ett nätfiskebedrägeri.

Säkerhet forskare som läser detta kommer att vara angelägna om att veta att Filed attackerna är öppna för alla.

XSS-attacker är en stapelvara i både forskning och brottslighet, XSS-attacker har funnits sedan Internet var ung, och används regelbundet av penetrationstestare när hjälpa webbplatser och organisationer nötkött upp deras säkerhet.

: Veracode XSS lathund

Men de är cancer för den vanlige användaren säkerhet.

Jing sade: “För iframe injektion sårbarhet, [de] kan användas för att göra DOS (denial of service) till andra webbplatser också.”

Forskaren förklarade (fet sätts av webbplatsen för betoning)

På grund av den kritiska, och storskalig karaktär av frågan, Jing skapat en detaljerad rapport och proof of concept dokumentation (inklusive videon nedan), och avslöjade problem på sin blogg, bloggen Security Pitch och Jing Twitter-flöde.

Star Trek: 50 år av positiv futurism och fet social kommentar, Microsofts Surface allt-i-ett dator sägs rubriken oktober hårdvara lansering, Händerna på med iPhone 7, ny Apple Watch och AirPods, Google köper Apigee för $ 625.000.000

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

Om du tror att About.com är några GeoCities-eran kvarleva från det förflutna ingen tittar på längre, tänk om: Om är 1000+ ämne domäner är Wikipedia konkurrenter, vilket enligt Traffic Uppskattning, såg sin totala trafiken drabbades mer än 98,5 miljoner unika besökare i januari 2015.

Enligt Jing, kan sårbarheter angripas utan användaren logga in och arbeta i alla de populära webbläsarna.

För Jings XFS och öppna omdirigering attacker, var “test utfördes på Microsoft IE (10.0.9200.16750), Windows 8, Mozilla Firefox (34,0), Google Krom 39.0.2171.65-0, Ubuntu (14,04), och Apple Safari (6.1.6 Mac OS X Lion 10,7). ”

XSS: Intressant mångsidig – och riktigt dålig

För Jings About.com XSS-attacker, “var Tester utfördes på Mozilla Firefox (26,0) i Ubuntu (14,04), och Microsoft IE (9.0.15) i Windows 7.”

På Full Disclosure listan han ingår, “The Säkerhetsproblemet vid About.com ‘offsite.htm sidan med” zu “parameter” och innehöll flera utsatta webbadresser och PoC webbadresser i sina upplysnings inlägg.

Bara bifoga “/ LR /” på någon Filed s underdomäner. Sedan bifoga “några koder + sciript” eller bifoga “script” kod direkt är OK.

Strukturen är (…)

OWASP definierar attackerna som

XFS också ibland används för att beskriva en XSS attack som använder en HTML-ram i attacken. Till exempel kan en angripare utnyttja en Cross Site Scripting Fel att injicera en ram i en tredje part webbsida, eller en angripare kan skapa en sida som använder en ram för att ladda en tredje part sida med en XSS fel.

I den första av ComputerWeekly utmärkta serie om tillämpning skikts attacker, skriver Michael Cobb, “XSS attacker fungerar även om platsen är sett över en SSL-anslutning, eftersom skriptet körs i samband med” säker “plats, och webbläsare kan inte skilja mellan legitim och skadligt innehåll serveras av en webbapplikation.

Användar försvar mot XSS och XFS attacker är lite utanför undvika känsliga webbplatser, och öva god integritet hygien som inte tillåter din webbläsare för att “komma ihåg” dina inloggningar och lösenord, blockerar så många tracking cookies som möjligt, hålla känsliga data i krypterad lagring och täta inloggning / ändringar lösenord (särskilt med kritiska konton, såsom bank och medicinska platser).

webbplatsen har nått ut till About.com för kommentarer och kommer att uppdatera detta inlägg om detta.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer