Mohamed A. Baset ชาวเม็กซิโกพบช่องโหว่ CSRF บน Metasploit Project ในส่วนของหน้าเว็บ ได้หมายเลข CVE-2017-5244 มีผลกระทบกับ Metasploit รุ่น Express, Community และ Professional ที่เป็นเวอร์ชั่นต่ำกว่า 4.14.0 หากเหยื่อคลิกลิงค์ที่มีโค้ดสำหรับโจมตี CSRF (สร้าง HTTP Request ไปยัง https://127.0.0.1:3790/tasks/stop_all) จะทำให้ Metasploit ที่กำลังสแกนอยู่ทั้งหมดนั้น หยุดสแกนทันที ผู้ใช้งาน Metasploit ควรอัพเดทเป็นเวอร์ชั่น 4.14.0 (Update 2017051801) เพื่อแก้ไขช่องโหว่
ที่มา : Seekurity Blog
นักวิจัยด้านความปลอดภัยจากอียิปต์ พบช่องโหว่ด้านความปลอดภัยของเว็บ Likes.com จำนวน 3 ช่องโหว่ได้แก่ Login Brute force, Login Bypass และ Cross-Site Request Forgery ซึ่ง Cross-Site Request Forgery นั้นสามารถทำให้เกิดอันตรายต่อผู้ใช้โดยตรง มีผลทำให้ผู้โจมตีสามารถโพสข้อความและแสดงความคิดเห็น รวมไปถึงลบบัญชีผู้ใช้ใดๆ ออกจากระบบได้ การโจมตีเกิดขึ้นได้โดยผู้โจมตีแค่คลิกลิงค์ URL ที่มี HTTP Request โดยมีการปรับแต่งค่าแล้วเรียบร้อยไปยัง Web Server ดังกล่าว
นักวิจัยที่ชื่อ " Henry Hoggard " ได้ค้นพบช่องโหว่ cross site request forgery(CSRF) ของเว็บไซต์ Namecheap ซึ่งเป็นเว็บไซต์ที่เกี่ยวกับการรับจดโดเมนทซึ่งได้รับความนิยมเป็นอย่างมาก ผู้โจมตีสามารถทำการ redirect เปลี่ยนเส้นทางไปยังเว็บไซต์ของผู้โจมตีได้และ สามารถทำการ defaced หน้าเว็บไซต์ต่างๆให้เสียหายได้ จากรายงานกล่าวว่า ผู้ที่เป็นลูกค้าของ Namecheap นั้นได้รับผลกระทบทั้งหมด ปัจจุบันทาง Namecheap ก็ได้นำ token อุปกรณ์อิเล็กทรอนิกส์ซึ่งมีหน้าที่ในการสร้างชุดรหัสผ่าน One Time Password (OTP) เข้ามาช่วยแก้ไขในช่องโหว่ดังกล่าวแล้ว
ที่มา : ehackingnews