25個受 Verisign 認證的網站存在安全性漏洞

來源:Softpedia
標題:Security Holes Found in 25 “Verisign Trusted” Online Stores (Exclusive)
作者:Eduard Kovacs
內文:
Freedom ,擅長發現XSS漏洞的灰帽駭客,本次帶來有趣的新聞。他發現 25 個英國網站有 XSS 漏洞。

令人擔心的是, 25 個網站都有 Verisign 認證、安全的網路購物、安全的網路寄送、且經過 Visa、 MasterCard 和 SecureCode 的驗證。 "這 25 個網站恰好執行同樣的程式碼,我只要用 Google dork 就發現漏洞。他們限制了首頁的搜尋框,但是當你搜尋不到而再次搜尋時就沒有任何限制(可以執行 script)。" 駭客說。「只要你有心,五分鐘可以讓他們的名聲毀於一旦。」

Freedom 提供被 XSS 的網站截圖:House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus, High and Mighty。類似的弱點也出現在以下網站:JD Williams, Heather Valley, Classic Confidence, Nightingales, Simply Yours, That’s My Style, Home Essentials, Oxendales, Naturally Close, House of Bath, Classic Detail, The Briliant Gift Shop, Crazy Clearance, Feel Good Essentials, Simply Be。

第 26 個不再名單的是 ASDA Direct (direct.asda.com),為他並沒有任何安全購物的標誌。「這又是一個讓使用者處於不安全的上網環境的例子。我想這些網站應該是五歲小孩寫的,我一輩子沒看過大型網站中如此脆弱的程式碼。」他又補充。「這表示他們都是抄別人的程式碼,心想其他人都抄所以很安全,然後未經檢查就發布出去,讓使用者來踩地雷吧 !!」

有人辯解那些安全檢測方法只是用來保護使用者購物時留下的個資,但好的管理者不應該輕忽網站上的任何漏洞。「這就算了,當我看到 www.verisign.co.uk 的價目表時,天阿 ! 難道真的有人願意付這些錢卻發現他的網站上充斥 script 嗎?」 Freedom 還提到。

「那些公司只做表面功夫,而真的有事發生了,使用者必然會對他們失望。使用者必須認清並不是安全標章或 https 就一定安全。」他最後總結。

網站之一 High and Mighty

網站之二 House of Fraser

網站之三 Marisota


留言

這個網誌中的熱門文章

資安JAVA(十):X-Content-Type-Options

資安JAVA(十一):X-XSS-Protection

資安JAVA(四):Session Cookie HTTPOnly Flag