Ashar Javed นักทดสอบเจาะระบบจาก Hyundai AutoEver พบช่องโหว่ Cross-site Scripting (XSS) บนเว็บไซต์ YouTube Gaming (https://gaming.youtube.com/)
โดยกล่าวเพิ่มเติมว่า เว็บไซต์ดังกล่าวไม่ได้มีการตรวจสอบข้อมูล Input เพื่อป้องกันการใส่สคริปที่อันตรายจากผู้ใช้ หรือไม่ได้เข้ารหัสตัวอักษร </ ส่งผลให้สามารถใส่สคริปอันตราย </script><script>confirm(document.domain)</script> ลงไปในช่องค้นหาวีดีโอได้
ผลกระทบอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึง Cookie, Session รวมไปถึงข้อมูลต่างๆที่เก็บอยู่ใน Browser ของเหยื่อหรือใช้ประโยชน์โดยการ redirect เหยื่อไปหน้าเว็บ Phishing ได้เป็นต้น
ช่องโหว่ XSS บนเว็บไซต์ YouTube Gaming ถูกรายงานไปที่ Google เมื่อวันที่ 22 ตุลาคมที่ผ่านมาและ Google ได้จ่ายเงินรางวัลให้กับ Ashar Javed เป็นจำนวนเงิน $3,133.7 พร้อมทั้งแก้ไขช่องโหว่ XSS เรียบร้อยแล้ว
ที่มา : securityweek
You must be logged in to post a comment.