Cross site scripting kerentanan keliru dianggap tidak penting, tetapi mereka dapat memungkinkan penyerang untuk menyuntikkan script pada sisi klien dalam halaman web yang dikunjungi oleh para korban.
Sebuah cross-site scripting (XSS) kerentanan dapat dieksploitasi oleh hacker untuk melewati kontrol akses melampaui pengecualian.
Tapi bukannya memanfaatkannya secara normal "alert ('MyName')" hal-hal dan kemudian melaporkan, Dia memutuskan untuk menunjukkan kepada tim keamanan Avira dalam mode yang berbeda dengan tujuan untuk menunjukkan bagaimana mungkin kerentanan XSS memungkinkan hacker untuk mencuri account pengguna dengan data teks yang jelas!
Untuk menunjukkan serangan ini ia telah menciptakan 4 file:
- avira.html - halaman login palsu
- log.php - logger yang akan log mandat sebagai teks yang jelas ke dalam file txt
- avira.txt - kredensial akan ditemukan di sini
- done.html - akan menampilkan pesan ucapan selamat untuk menipu pengguna.
Menurut Ebrahim Hegazy, tim Avira menjawab cepat dan tetap cacat dalam waktu singkat. Bagi mereka yang menganggap kerentanan XSS sebagai kerentanan keparahan rendah, sekarang Anda dapat mengubah pendapat Anda.
Kredit: Ebrahim Hegazy adalah informasi penasehat keamanan @Starware Group, diakui oleh Google, Microsoft dan Ebay untuk menemukan dan melaporkan beberapa kerentanan dalam aplikasi mereka.
Kredit: Ebrahim Hegazy adalah informasi penasehat keamanan @Starware Group, diakui oleh Google, Microsoft dan Ebay untuk menemukan dan melaporkan beberapa kerentanan dalam aplikasi mereka.
0komentar:
Post a Comment