Articles of New York Times Before 2013 May Vulnerable to XSS Attacks



New York Times articles’ pages dated before 2013 may suffer from an XSS (Cross-site Scripting) vulnerability, according to the report posted by security researcher Wang Jing. Wang is a mathematics Ph.D student from School of Physical and Mathematical Sciences, Nanyang Technological University, Singapore. He published his discovery in well-known security mail list Full Disclosure.


According to Wang, all pages before 2013 that contain buttons such as “PRINT”,”SINGLE PAGE”, “Page” and “NEXT PAGE” are affected by the XSS vulnerability. Meanwhile, the researcher also published a proof of concept video to prove the existence of the XSS flaw.


As of yet, there are no known cases of criminals exploiting the Times’ XSS issue in order to attack users. However, according to Wang, the threat is possible, and the New York Times has a big enough audience that an XSS attack, even via its older articles, could still affect a broad number of users. The affected New York Times articles are still indexed in Google search engines, and are still frequently hyperlinked in other articles.


However according to the researcher, New York Times has now a much safer mechanism, implemented sometime in 2013, that sanitizes all URLs sent to its server.


Cross-site scripting (XSS) vulnerabilities usually reside in web applications and can be used by attackers to modify the normal flow of the web page. A cybercriminal can use it easily to perform URL redirect, mine for victim’s browser details, session hijacking, phishing, or even steal cookies.


XSS issues are not entirely uncommon. So far we have seen that Google, Amazon, Microsoft, Yahoo and Facebook all had this kind issue reported.



Related News:


Mozilla Two Sub-Domains ( Cross Reference) XSS Vulnerability ( All URLs Under the Two Domains)

Mozilla Two Sub-Domains ( Cross Reference) XSS Vulnerability ( All URLs Under the Two Domains)


(The two domains above are almost the same)



Websites information: are cross references designed to display the Mozilla source code. The sources displayed are those that are currently checked in to the mainline of the CVS server, Mercurial Server, and Subversion Server; these pages are updated many times a day, so they should be pretty close to the latest‑and‑greatest. (from Mozilla)




Vulnerability description:

All pages under the following two URLs are vulnerable.



This means all URLs under the above two domains can be used for XSS attacks targeting Mozilla’s users.


Since there are large number of pages under them. Meanwhile, the contents of the two domains vary. This makes the vulnerability very dangerous. Attackers can use different URLs to design XSS attacks to Mozilla’s variety class of users.


The vulnerability have been reported to Mozilla are dealing with this issue.





POCs:<body onload=prompt(“justqdjing”)><body onload=prompt(“justqdjing”)><body onload=prompt(“tetraph”)><body onload=prompt(“tetraph”)><body onload=prompt(“tetraph”)><body onload=prompt(“justqdjing”)><body onload=prompt(“justqdjing”)><body onload=prompt(“justqdjing”)><body onload=prompt(“tetraph”)><body onload=prompt(“tetraph”)>




POC Video:





Vulnerability Analysis:

Take the following link as an example,<attacktest>


We can see that for the page reflected, it contains the following codes.

<a href=”/mozilla-central/source/chrome/%253Cattacktest%253E”>




If we insert “<body onload=prompt(“justqdjing”)>” into the URL, the code can be executed.




The vulnerability can be attacked without user login. Tests were performed on Firefox (26.0) in Ubuntu (12.04) and IE (9.0.15) in Windows 7.



Cross-site scripting (XSS) is a type of computer security vulnerability typically found in Web applications. XSS enables attackers to inject client-side script into Web pages viewed by other users. A cross-site scripting vulnerability may be used by attackers to bypass access controls such as the same origin policy. (From Wikepedia)




Posted By:

Wang Jing, School of Physical and Mathematical Sciences, Nanyang Technological University, Singapore.






More Details:

Covert Redirect – Knowledge

Covert Redirect is a class of security bugs disclosed in May 2014. It is an application that takes a parameter and redirects a user to the parameter value without sufficient validation.


Security concept with mad hacker working on laptop at night


Covert Redirect is also related to single sign-on. It is well known by its influence on OAuth and OpenID. Covert Redirect was found and dubbed by a mathematics PhD student Wang Jing from School of Physical and Mathematical Sciences, Nanyang Technological University, Singapore.


After Covert Redirect was published, it is kept in some common databases such as SCIP, OSVDB, Bugtraq, and X-Force. Its scipID is 13185, while OSVDB reference number is 106567. Bugtraq ID: 67196.  X-Force reference number is 93031.





两款互联网登录系统曝出重大漏洞 短期内或无法修复 (Covert Redirect)


继OpenSSL漏洞后,开源安全软件再曝安全漏洞新加坡南洋理工大学安全研究人员,物理和数学科学学院博士生王晶(Wang Jing )发现,Oauth 2.0, OpenID 授权接口的网站存隐蔽重定向漏洞、英文名为“Covert Redirect”。[1-2]   









腾 讯,阿里巴巴,QQ、新浪微博、淘宝网,支付宝,网易,PayPal, eBay, Amazon, Facebook、Google, LinkedIn, Yahoo,, Microsoft,, Github, WordPress 等国内外大量知名网站受影响。[1] 


鉴 于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及 LinkedIn——Wang表示他已经向这些公司已经了汇报。Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有 站点。Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。至于Google,预计该公司会追 踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。[2] 





Oauth是 一个被广泛应用的开放登陆协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的信息(如照片,视频,联系人列表),而无需将用户名和密码提供给 第三方应用。这次曝出的漏洞,可将Oauth2.0的使用方(第三方网站)的回跳域名劫持到恶意网站去,黑客利用XSS漏洞攻击就能随意操作被授权的账 号,读取用户的隐私信息。像腾讯、新浪微博等社交网站一般对登陆回调地址没有任何限制,极易遭黑客利用。[1] 








種類のゲームにおける観 光の全員が再生されているが今、多くの人が、観光に行くが、観光業に完全に考えないように、自然に行く必要があり、唯一の目標は、市内でいるので、再生す ることです一つは、人生の別の種類での生活を体験することができませんし、我々は完全に観光にホッとします。

love 5







8 uはやかんは常に水を持っている必要があり、水分をキャンプしない場合に、特に、その後の方法は、非常に困難になります。






Alle Links zu New York Times Artikel Vor 2013 anfällig für XSS-Angriffe

Alle Links zu New York Times Artikel Vor 2013 anfällig für XSS-Angriffe


URLs, um Artikel in der New York Times (NYT) vor 2013 veröffentlicht wurden gefunden anfällig für einen XSS (Cross-Site Scripting) Angriff der Lage ist, Code im Kontext des Web-Browsers ausgeführt werden zu können.



Basierend auf nytimes die Gestaltung, fast alle URLs vor 2013 sind betroffen (Alle Seiten von Artikeln). In der Tat, alle Artikel Seiten, die Schaltfläche “Drucken”, “Jede Seite” Taste enthalten, werden “Seite *” Taste “NEXT PAGE” -Taste beeinflusst.


Nytimes geändert diesen Mechanismus seit 2013. Es decodiert die URLs, seine Server gesendet. Dadurch ist der Mechanismus nun viel sicherer.


Jedoch werden alle URLs vor 2013 immer noch mit dem alten Mechanismus. Das bedeutet fast allen Artikelseiten vor 2013 sind immer noch anfällig für XSS-Angriffe. Ich denke, der Grund, nytimes keine URLs filtern, bevor die Kosten. Es kostet zu viel (Geld und Humankapital), um in der Datenbank nach Artikel gepostet, bevor ändern.


Die Sicherheitslücke wurde von einem Mathematik Doktorand Wang Jing von der Schule für Physikalische und Mathematische Wissenschaften (SPMS), Nanyang Technological University, Singapur.


POC und Blog Erklärung von Wang gegeben,


Unterdessen sagte Wang: “Die New York Times hat einen neuen Mechanismus jetzt angenommen. Dies ist eine bessere Schutzmechanismus.”



Auch wenn die Artikel sind alt, sind die Seiten noch relevant
Ein Angriff auf neueren Artikel würde auf jeden Fall haben erhebliche Auswirkungen gehabt, aber Artikeln von 2012 oder sogar noch älter sind alles andere als überholt. Es wäre immer noch im Rahmen eines Angriffs von Bedeutung sein.


Cyberkriminelle können verschiedene Möglichkeiten, um den Link, um potenzielle Opfer zu senden und aufzuzeichnen hohen Erfolgsraten, alle mit mehr gezielte Angriffe zu entwickeln.



Was ist XSS?
Cross-Site Scripting (XSS) ist eine Art von Computer-Sicherheitslücke in der Regel in Web-Anwendungen gefunden. XSS ermöglicht es Angreifern, clientseitige Skript in Webseiten, die von anderen Benutzern eingesehen zu injizieren. Eine Cross-Site-Scripting-Schwachstelle kann von Angreifern wie der Same Origin Policy verwendet werden, um Zugangskontrollen zu umgehen. Cross-Site Scripting auf Webseiten durchgeführt entfielen rund 84% aller Sicherheitslücken von Symantec ab 2007 dokumentiert (Wikipedia)





Tous les liens vers les articles du New York Times Avant 2013 vulnérable aux attaques XSS

Tous les liens vers les articles du New York Times Avant 2013 vulnérable aux attaques XSS


URL vers des articles dans le New York Times (NYT) publiés avant 2013 ont été trouvés à être vulnérables à un (cross-site scripting) attaque XSS capable de fournir le code doit être exécuté dans le contexte du navigateur web.


Basé sur la conception de NYTimes, Presque toutes les URL avant 2013 sont affectés (Toutes les pages d’articles). En fait, toutes les pages d’articles qui contiennent bouton “Imprimer”, “PAGE SINGLE” bouton “page *” bouton, le bouton “Page suivante” sont touchés.


Nytimes changé ce mécanisme depuis 2013. Il décode les URL envoyées à son serveur. Cela rend le mécanisme beaucoup plus en sécurité maintenant.


Cependant, toutes les URL avant 2013 utilisent encore l’ancien mécanisme. Cela signifie presque toutes les pages de l’article avant 2013 sont encore vulnérables à des attaques XSS. Je suppose que la raison NYTimes ne filtre pas avant URL est le coût. Ça coûte trop cher (de l’argent et le capital humain) pour changer la base de données de tous les articles publiés auparavant.




La vulnérabilité a été trouvé par un étudiant de doctorat en mathématiques Wang Jing de l’École de sciences physiques et mathématiques (SPMS), Université technologique de Nanyang, à Singapour.


POC et Blog explication donnée par Wang,


Pendant ce temps, Wang a dit que “Le New York Times a adopté un nouveau mécanisme maintenant. Ce est un meilleur mécanisme de protection.”



Même si les articles sont vieux, les pages sont toujours d’actualité
Une attaque sur les articles les plus récents aurait certainement eu un impact significatif, mais les articles de 2012 ou même plus sont loin d’être obsolète. Ils seraient toujours pertinente dans le contexte d’une attaque.


Les cybercriminels peuvent concevoir plusieurs façons d’envoyer le lien aux victimes potentielles et d’enregistrer des taux de réussite élevés, toutes les attaques ciblées plus avec.

Quel est XSS?
Cross-site scripting (XSS) est un type de vulnérabilité de la sécurité informatique trouve généralement dans les applications Web. XSS permet aux pirates d’injecter un script côté client dans des pages Web consultées par les autres utilisateurs. Un cross-site scripting vulnérabilité peut être utilisée par des attaquants afin de contourner les contrôles d’accès tels que la politique de même origine. Cross-site scripting effectué sur des sites Web a représenté environ 84% de toutes les vulnérabilités de sécurité documentés par Symantec à partir de 2007. (Wikipedia)