Articles of New York Times Before 2013 May Vulnerable to XSS Attacks

SSL-1

 

New York Times articles’ pages dated before 2013 may suffer from an XSS (Cross-site Scripting) vulnerability, according to the report posted by security researcher Wang Jing. Wang is a mathematics Ph.D student from School of Physical and Mathematical Sciences, Nanyang Technological University, Singapore. He published his discovery in well-known security mail list Full Disclosure.

 

According to Wang, all pages before 2013 that contain buttons such as “PRINT”,”SINGLE PAGE”, “Page” and “NEXT PAGE” are affected by the XSS vulnerability. Meanwhile, the researcher also published a proof of concept video to prove the existence of the XSS flaw.

 

As of yet, there are no known cases of criminals exploiting the Times’ XSS issue in order to attack users. However, according to Wang, the threat is possible, and the New York Times has a big enough audience that an XSS attack, even via its older articles, could still affect a broad number of users. The affected New York Times articles are still indexed in Google search engines, and are still frequently hyperlinked in other articles.

 

However according to the researcher, New York Times has now a much safer mechanism, implemented sometime in 2013, that sanitizes all URLs sent to its server.

 

Cross-site scripting (XSS) vulnerabilities usually reside in web applications and can be used by attackers to modify the normal flow of the web page. A cybercriminal can use it easily to perform URL redirect, mine for victim’s browser details, session hijacking, phishing, or even steal cookies.

 

XSS issues are not entirely uncommon. So far we have seen that Google, Amazon, Microsoft, Yahoo and Facebook all had this kind issue reported.

 

 

Related News:

 
 
 

Advertisements

Mozilla mozilla.org Two Sub-Domains ( Cross Reference) XSS Vulnerability ( All URLs Under the Two Domains)

Mozilla mozilla.org Two Sub-Domains ( Cross Reference) XSS Vulnerability ( All URLs Under the Two Domains)

Domains:

http://lxr.mozilla.org/

http://mxr.mozilla.org/

(The two domains above are almost the same)

 

 

Websites information:

lxr.mozilla.orgmxr.mozilla.org are cross references designed to display the Mozilla source code. The sources displayed are those that are currently checked in to the mainline of the mozilla.org CVS server, Mercurial Server, and Subversion Server; these pages are updated many times a day, so they should be pretty close to the latest‑and‑greatest. (from Mozilla)

 

 

 

Vulnerability description:

All pages under the following two URLs are vulnerable.

http://lxr.mozilla.org/mozilla-central/source

http://mxr.mozilla.org/mozilla-central/source

 

 

This means all URLs under the above two domains can be used for XSS attacks targeting Mozilla’s users.

 

Since there are large number of pages under them. Meanwhile, the contents of the two domains vary. This makes the vulnerability very dangerous. Attackers can use different URLs to design XSS attacks to Mozilla’s variety class of users.

 

The vulnerability have been reported to bugzilla.mozilla.org. Mozilla are dealing with this issue.

 

 

 

 

POCs:

http://lxr.mozilla.org/mozilla-central/source/<body onload=prompt(“justqdjing”)>

http://lxr.mozilla.org/mozilla-central/source/mobile/android/<body onload=prompt(“justqdjing”)>

http://lxr.mozilla.org/mozilla-central/source/Android.mk/<body onload=prompt(“tetraph”)>

http://lxr.mozilla.org/mozilla-central/source/storage/public/mozIStorageBindingParamsArray.idl/<body onload=prompt(“tetraph”)>

http://lxr.mozilla.org/mozilla-central/source/netwerk/protocol/device/AndroidCaptureProvider.cpp<body onload=prompt(“tetraph”)>

 

http://mxr.mozilla.org/mozilla-central/source/<body onload=prompt(“justqdjing”)>

http://mxr.mozilla.org/mozilla-central/source/webapprt/<body onload=prompt(“justqdjing”)>

http://mxr.mozilla.org/mozilla-central/source/mozilla-config.h.in/<body onload=prompt(“justqdjing”)>

http://mxr.mozilla.org/mozilla-central/source/chrome/nsChromeProtocolHandler.h/<body onload=prompt(“tetraph”)>

http://mxr.mozilla.org/mozilla-central/source/security/sandbox/linux/x86_32_linux_syscalls.h/<body onload=prompt(“tetraph”)>

 

 

 

POC Video:

https://www.youtube.com/user/tetraph

 

 

 

 

Vulnerability Analysis:

Take the following link as an example,

http://lxr.mozilla.org/mozilla-central/source/chrome/<attacktest>

 

We can see that for the page reflected, it contains the following codes.

<a href=”/mozilla-central/source/chrome/%253Cattacktest%253E”>

<attacktest></attacktest>

</a>

 

If we insert “<body onload=prompt(“justqdjing”)>” into the URL, the code can be executed.

 

 

 

The vulnerability can be attacked without user login. Tests were performed on Firefox (26.0) in Ubuntu (12.04) and IE (9.0.15) in Windows 7.

 

 

Cross-site scripting (XSS) is a type of computer security vulnerability typically found in Web applications. XSS enables attackers to inject client-side script into Web pages viewed by other users. A cross-site scripting vulnerability may be used by attackers to bypass access controls such as the same origin policy. (From Wikepedia)

 

 

 

Posted By:

Wang Jing, School of Physical and Mathematical Sciences, Nanyang Technological University, Singapore.http://tetraph.com/wangjing/

 

 

 

 

 

More Details:

http://www.hotforsecurity.com/blog/cross-site-scripting-vulnerability-in-mozillas-cross-reference-sub-domains-10607.html

http://www.tetraph.com/blog/xss-vulnerability/mozilla-mozilla-org-two-sub-domains-cross-reference-xss-vulnerability-all-urls-under-the-two-domains/

https://www.xssposed.org/incidents/domain/lxr.mozilla.org/

https://www.youtube.com/watch?v=onA5BgC3zIY

http://itsecuritynews.info/2014/10/20/cross-site-scripting-vulnerability-in-mozillas-cross-reference-sub-domains/

http://news.softpedia.com/news/XSS-Risk-Found-In-Links-to-New-York-Times-Articles-Prior-to-2013-462334.shtml

https://brica.de/alerts/alert/public/791810/cross-site-scripting-xss-vulnerability-in-new-york-times-articles-before-2013/

https://twitter.com/essayjeans

http://infopunk.org/main/blog/2014/10/20/cross-site-scripting-vulnerability-in-mozillas-cross-reference-sub-domains/

Covert Redirect – Knowledge

Covert Redirect is a class of security bugs disclosed in May 2014. It is an application that takes a parameter and redirects a user to the parameter value without sufficient validation.

 

Security concept with mad hacker working on laptop at night

 

Covert Redirect is also related to single sign-on. It is well known by its influence on OAuth and OpenID. Covert Redirect was found and dubbed by a mathematics PhD student Wang Jing from School of Physical and Mathematical Sciences, Nanyang Technological University, Singapore.

 

After Covert Redirect was published, it is kept in some common databases such as SCIP, OSVDB, Bugtraq, and X-Force. Its scipID is 13185, while OSVDB reference number is 106567. Bugtraq ID: 67196.  X-Force reference number is 93031.

 

 

 

 

两款互联网登录系统曝出重大漏洞 短期内或无法修复 (Covert Redirect)

安全漏洞

继OpenSSL漏洞后,开源安全软件再曝安全漏洞新加坡南洋理工大学安全研究人员,物理和数学科学学院博士生王晶(Wang Jing )发现,Oauth 2.0, OpenID 授权接口的网站存隐蔽重定向漏洞、英文名为“Covert Redirect”。[1-2]   

 

入侵技术

攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。[2] 

 

 

 

漏洞危害

黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,一旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。[1] 

腾 讯,阿里巴巴,QQ、新浪微博、淘宝网,支付宝,网易,PayPal, eBay, Amazon, Facebook、Google, LinkedIn, Yahoo, VK.com, Microsoft,  Mail.ru, Github, WordPress 等国内外大量知名网站受影响。[1] 

 

鉴 于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及 LinkedIn——Wang表示他已经向这些公司已经了汇报。Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有 站点。Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。至于Google,预计该公司会追 踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。[2] 

 

 

 

背景知识

Oauth是 一个被广泛应用的开放登陆协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的信息(如照片,视频,联系人列表),而无需将用户名和密码提供给 第三方应用。这次曝出的漏洞,可将Oauth2.0的使用方(第三方网站)的回跳域名劫持到恶意网站去,黑客利用XSS漏洞攻击就能随意操作被授权的账 号,读取用户的隐私信息。像腾讯、新浪微博等社交网站一般对登陆回调地址没有任何限制,极易遭黑客利用。[1] 

 

 

 

 

参考资料,

12の観光自身の誠実な勧告

12の観光自身の誠実な勧告

種類のゲームにおける観 光の全員が再生されているが今、多くの人が、観光に行くが、観光業に完全に考えないように、自然に行く必要があり、唯一の目標は、市内でいるので、再生す ることです一つは、人生の別の種類での生活を体験することができませんし、我々は完全に観光にホッとします。

love 5

自分の旅行で2、私たちはそこに誰も害を与えない、1セットは警戒するように、それぞれの海奇妙なフランケンシュタインの様々な遭遇する、防御策はなしで行うことはできません。

uは動いていない、旅行にある、あまりにも多くの3旅行を服用しないでください。

など風邪薬、下痢の薬、雲南百薬、など4一般的に使用される薬を、買って、それはいくつかのチョコレートを取得するために最善である、高脂肪

トップ5観光客、あまりにも多くのいくつかの現金を取得することがベストですが、ではない、完全に準備されるべき1つのセット、。

図6は、1にも使用されていない場合でも、シートを買うGPSを取った場合でも、地図を見いずれかを購入するために一つの場所にあなたのルートを計画するために、それはまた、撮影することができます。

7は、観光なので、私たちは森林、田舎に、良いテントを取る必要があり、睡眠は1楽しいuはホテルで感じることができない選択、が、安全に注意を払うように与えられたものである。

8 uはやかんは常に水を持っている必要があり、水分をキャンプしない場合に、特に、その後の方法は、非常に困難になります。

9つの方法は、他の人の慣習を尊重するために、1カスタムを持っている。

10プロセスは、他の人に何かを貸す、また誰かの何か、特に水、お金を貸していません。

11後に野生で一つ火は火ではなく、火星を設定すべきではありません。

図12は、動物の環境を保護する。

最も重要なことは、自宅でスナップショットを取るためにタイムリーです。

Alle Links zu New York Times Artikel Vor 2013 anfällig für XSS-Angriffe

Alle Links zu New York Times Artikel Vor 2013 anfällig für XSS-Angriffe

 

URLs, um Artikel in der New York Times (NYT) vor 2013 veröffentlicht wurden gefunden anfällig für einen XSS (Cross-Site Scripting) Angriff der Lage ist, Code im Kontext des Web-Browsers ausgeführt werden zu können.

 

c5e0b49392f4e9f877a6fe8f9b8eccc5


Basierend auf nytimes die Gestaltung, fast alle URLs vor 2013 sind betroffen (Alle Seiten von Artikeln). In der Tat, alle Artikel Seiten, die Schaltfläche “Drucken”, “Jede Seite” Taste enthalten, werden “Seite *” Taste “NEXT PAGE” -Taste beeinflusst.

 

Nytimes geändert diesen Mechanismus seit 2013. Es decodiert die URLs, seine Server gesendet. Dadurch ist der Mechanismus nun viel sicherer.

 

Jedoch werden alle URLs vor 2013 immer noch mit dem alten Mechanismus. Das bedeutet fast allen Artikelseiten vor 2013 sind immer noch anfällig für XSS-Angriffe. Ich denke, der Grund, nytimes keine URLs filtern, bevor die Kosten. Es kostet zu viel (Geld und Humankapital), um in der Datenbank nach Artikel gepostet, bevor ändern.

 

Die Sicherheitslücke wurde von einem Mathematik Doktorand Wang Jing von der Schule für Physikalische und Mathematische Wissenschaften (SPMS), Nanyang Technological University, Singapur.

 

POC und Blog Erklärung von Wang gegeben,
https://www.youtube.com/watch?v=RekCK5tjXWQ
http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

 

Unterdessen sagte Wang: “Die New York Times hat einen neuen Mechanismus jetzt angenommen. Dies ist eine bessere Schutzmechanismus.”

 

 

Auch wenn die Artikel sind alt, sind die Seiten noch relevant
Ein Angriff auf neueren Artikel würde auf jeden Fall haben erhebliche Auswirkungen gehabt, aber Artikeln von 2012 oder sogar noch älter sind alles andere als überholt. Es wäre immer noch im Rahmen eines Angriffs von Bedeutung sein.

 

Cyberkriminelle können verschiedene Möglichkeiten, um den Link, um potenzielle Opfer zu senden und aufzuzeichnen hohen Erfolgsraten, alle mit mehr gezielte Angriffe zu entwickeln.

 

 

Was ist XSS?
Cross-Site Scripting (XSS) ist eine Art von Computer-Sicherheitslücke in der Regel in Web-Anwendungen gefunden. XSS ermöglicht es Angreifern, clientseitige Skript in Webseiten, die von anderen Benutzern eingesehen zu injizieren. Eine Cross-Site-Scripting-Schwachstelle kann von Angreifern wie der Same Origin Policy verwendet werden, um Zugangskontrollen zu umgehen. Cross-Site Scripting auf Webseiten durchgeführt entfielen rund 84% aller Sicherheitslücken von Symantec ab 2007 dokumentiert (Wikipedia)

 

 

 

 

Tous les liens vers les articles du New York Times Avant 2013 vulnérable aux attaques XSS

Tous les liens vers les articles du New York Times Avant 2013 vulnérable aux attaques XSS

 

URL vers des articles dans le New York Times (NYT) publiés avant 2013 ont été trouvés à être vulnérables à un (cross-site scripting) attaque XSS capable de fournir le code doit être exécuté dans le contexte du navigateur web.

 

Basé sur la conception de NYTimes, Presque toutes les URL avant 2013 sont affectés (Toutes les pages d’articles). En fait, toutes les pages d’articles qui contiennent bouton “Imprimer”, “PAGE SINGLE” bouton “page *” bouton, le bouton “Page suivante” sont touchés.

 

Nytimes changé ce mécanisme depuis 2013. Il décode les URL envoyées à son serveur. Cela rend le mécanisme beaucoup plus en sécurité maintenant.

 

Cependant, toutes les URL avant 2013 utilisent encore l’ancien mécanisme. Cela signifie presque toutes les pages de l’article avant 2013 sont encore vulnérables à des attaques XSS. Je suppose que la raison NYTimes ne filtre pas avant URL est le coût. Ça coûte trop cher (de l’argent et le capital humain) pour changer la base de données de tous les articles publiés auparavant.

 

images31

 

La vulnérabilité a été trouvé par un étudiant de doctorat en mathématiques Wang Jing de l’École de sciences physiques et mathématiques (SPMS), Université technologique de Nanyang, à Singapour.

 

POC et Blog explication donnée par Wang,
https://www.youtube.com/watch?v=RekCK5tjXWQ
http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

 

Pendant ce temps, Wang a dit que “Le New York Times a adopté un nouveau mécanisme maintenant. Ce est un meilleur mécanisme de protection.”

 

 

Même si les articles sont vieux, les pages sont toujours d’actualité
Une attaque sur les articles les plus récents aurait certainement eu un impact significatif, mais les articles de 2012 ou même plus sont loin d’être obsolète. Ils seraient toujours pertinente dans le contexte d’une attaque.

 

Les cybercriminels peuvent concevoir plusieurs façons d’envoyer le lien aux victimes potentielles et d’enregistrer des taux de réussite élevés, toutes les attaques ciblées plus avec.

 
Quel est XSS?
Cross-site scripting (XSS) est un type de vulnérabilité de la sécurité informatique trouve généralement dans les applications Web. XSS permet aux pirates d’injecter un script côté client dans des pages Web consultées par les autres utilisateurs. Un cross-site scripting vulnérabilité peut être utilisée par des attaquants afin de contourner les contrôles d’accès tels que la politique de même origine. Cross-site scripting effectué sur des sites Web a représenté environ 84% de toutes les vulnérabilités de sécurité documentés par Symantec à partir de 2007. (Wikipedia)

 

 

 

 

 

références: