家庭小木屋

家是什么?众说纷纭。社会学家说,家是社会的最小细胞;婚姻学家说,家是风雨相依的两人世界;文学家说,家是宝盖下面养着的一群猪……究竟什么是家呢?记得在一个朋友的结婚典礼上司仪饱含深情的那句话:家不是讲理的地方,家不是放钱的地方,家不是两个人凑合过日子的地方……

纽约时报所有2013年前旧文章XSS漏洞

琐事,日常之事:

tetraph的喜欢:

来自:whitehat

纽约时报所有2013年前旧文章XSS漏洞

 


跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。












新加坡南洋理工大学物理和数学科学学院博士生王晶(Wang Jing)发现,纽约时报所有2013年前的文章都可已用来攻击。“2013年前所有包含“PRINT”,”SINGLE PAGE”, “Page” 和“NEXT PAGE” 按钮的文章都有此漏洞“。


当被问及漏洞的重要性时,王晶回答“对XSS攻击而言,非常重要的一件事情是如何说服受害者点击URL。因为所有的旧文章都可已用来攻击,所有用户非常容易遭受攻击“。


研究者王发布了一个POC视频和博客说明:

https://www.youtube.com/watch?v=RekCK5tjXWQ

http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/



王同时说明,纽约时报现在采取了一种更安全的机制,这种机制不再遭受XSS攻击。



发布在2013年前的文章是否重要?

问前还是非常严重的,因为所有 纽约时报2013年前的文章还在被大量引用。 据此产生的流量也非常大。所以此漏洞及易使纽约时报用户和其他合作者遭受攻击。

 


XSS 攻击后果?

漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。 用户可以被窃取个人资料,重定向到其他页面等。


 

 

 



参考文章:

http://securitynewswire.com/securitynews2012/article.php?title=XSS_Ri

http://www.tomsguide.com/us/xss-flaw-ny-times,news-19784.html

http://www.hotforsecurity.com/blog/cross-site-scripting-xss-vulnerability-

http://news.softpedia.com/news/XSS-Risk-Found-In-Links-to-

http://itsecuritynews.info/tag/wang-jing/

http://www.hellasforce.com/blog/xss-kindini-entopistikan-se

http://telezkope.com/Technology/Programming/3321242/cross-site

http://news.silobreaker.com/google-doubleclicknetadvertising-system

http://worldnew.org/xss-flaw-may-exist-in-the-old-new

http://tetraph.wordpress.com/2014/11/01/new-york-times-nytimes

http://tetraph.tumblr.com/post/101472580032/new-york-times

http://www.inzeed.com/kaleidoscope/xss-vulnerability/new-york

http://diebiyi.com/articles/%E5%AE%89%E5%85%A8/xss-v

 

评论

热度(16)

  1. 白帽子安全谷雨 醉心 冬小麦 转载了此文字  到 测试想法
  2. 家庭小木屋琐事,日常之事 转载了此文字
  3. 计算机网络技术谷雨 醉心 冬小麦 转载了此文字  到 行者路上有風有雨有彩虹
  4. 谷雨 醉心 冬小麦琐事,日常之事 转载了此文字
  5. 點滴的記錄琐事,日常之事 转载了此文字
  6. 琐事,日常之事夜如墨 转载了此文字