纽约时报所有2013年前旧文章XSS漏洞

纽约时报所有2013年前旧文章XSS漏洞
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
Morning Dew On A Web Desktop Background
新加坡南洋理工大学物理和数学科学学院博士生王晶(Wang Jing)发现,纽约时报所有2013年前的文章都可已用来攻击。“2013年前所有包含“PRINT”,”SINGLE PAGE”, “Page” 和“NEXT PAGE” 按钮的文章都有此漏洞“。
当被问及漏洞的重要性时,王晶回答“对XSS攻击而言,非常重要的一件事情是如何说服受害者点击URL。因为所有的旧文章都可已用来攻击,所有用户非常容易遭受攻击“。
研究者王发布了一个POC视频和博客说明:
王同时说明,纽约时报现在采取了一种更安全的机制,这种机制不再遭受XSS攻击。
发布在2013年前的文章是否重要?
问前还是非常严重的,因为所有 纽约时报2013年前的文章还在被大量引用。 据此产生的流量也非常大。所以此漏洞及易使纽约时报用户和其他合作者遭受攻击。
XSS 攻击后果?
漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。 用户可以被窃取个人资料,重定向到其他页面等。
参考文章:
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s