WIX是一个广泛使用的基于云的Web开发平台的提供者似乎在手上有一个重要的错误,这可能已经为计算机蠕虫铺平了道路,为世界各地的网站做了严重损害。
研究人员涉及对比度安全性的研究人员,据幻灯议员的研究人员表示,这个问题与Wix建立的网站中找到的漏洞有关。
虽然Wix说它已经解决了这个问题,但它说明了几行不良代码可能会造成广泛的损坏。
XSS漏洞是常见的,并且由网站中的缺陷导致“编码”。黑客可以利用它们来欺骗用户“浏览器进入运行恶意脚本,例如,可以下载计算机病毒或公开在其计算机上的Internet cookie。奥斯汀在Wix的网站中发现了与Wix的网站相同的问题,该网站建立了网站,拥有欧洲,拉丁美洲,亚洲的8700万用户。
黑客可能会劫持通过Wix创建的任何网站的网址,并通过重定向的访问者自动从一个单独的在线来源下载恶意文件,他在星期三博客文章说。
此外,该漏洞可能允许黑客接管客户“跨WIX平台的网站帐户,作为自传漏洞的一部分。
“这就是对这个脆弱性有趣的是,”他说。“它可能是难以忍受的,可以快速传播。”
Wix.Wix网站建设者的模板。
这是可能的,因为他发现的错误也影响了Wix的网页编辑器域 - 客户登录以修改他们构建的网站。
为了获得访问,奥斯汀说,黑客可以创建一个针对Wix帐户的客户的恶意网站。他说,在这种情况下,攻击将专门用于劫持浏览器仍登录到WIX平台的会话ID。
访问恶意站点的毫无戒心的用户将触发秘密登录Wix的操作并添加新的管理用户 - 黑客。在他自己的测试中,奥斯汀发现他能够使用这种方法接管Wix账户。
然而,他说,危险不会停止在那里。想象一条不仅在Wix客户上拍摄的网站,而且修改每个WIX帐户,它需要超过同一XSS攻击。
“它可以呈指数级,”他说。“它可以自动修改WIX站点以进一步传播。”
同样的漏洞也可以允许黑客修改Wix网站以获取其他邪恶的目的,如托管恶意软件或参与其他在线诈骗。
虽然这种滥用的潜力只是理论上,但奥斯汀说,他在10月10日开始对Wix进行了警报,但是在10月10日中反复提醒漏洞,但没有任何消息。以前他在Facebook,雅虎和Spotify发现了错误。
周四,WIX回答说,并表示问题已得到解决。
“我们非常认真地承担客户的安全性。彻底检查后,我们可以说出问题已被解决,“该公司在一封电子邮件中表示。“我们确实经营了一个正式的错误赏金计划,并采取措施扩大社区。”
奥斯汀表示,漏洞应该易于删除几行代码。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。