Story on McAfee Security Hole Triggers Another

لا يبدو الأمر أكثر إثارة للسخرية من هذا: قامت قطعة ReadWriteWeb بتفصيل العديد من العيوب في البرامج النصية عبر المواقع (XSS) في موقع ويب McAfee. تتضمن القصة بعض نماذج التعليمات البرمجية التي تعرض ببساطة كنص على ReadWriteWeb.

التقطت صحيفة نيويورك تايمز القصة ، ولكن بدلاً من عرض نموذج التعليمة البرمجية ، قامت بتنفيذها كجزء من الصفحة ، مما تسبب في أي شخص يفتح القصة يتم إعادة توجيهك إلى موقع ReadWriteWeb. القضية؟ ثغرة XSS (تعريف) ، وهو نوع من عيب الويب الذي يمكن استهدافه لسرقة البيانات وإفساد يومك بطريقة أخرى.

إليك كيف يبدو القسم الذي تم تفسيره بشكل خاطئ في صحيفة نيويورك تايمز:

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows لديك

يجب أن يتم عرض نموذج التعليمة البرمجية بعد الاقتباس ، ولكن تم تنفيذها بدلاً من ذلك.

لذا فإن قصة حول ثقب الأمان في موقع شركة أمان على الويب تكشف نفس النوع من الثغرة الأمنية في الموقع الذي يخبر القصة. وفقا لانس جيمس من العلوم الآمنة ، الذي اكتشف ما كان يحدث بعد أن اتصل به مؤلف القصة ، فإن عيب NYT يمكن أن يسمح لأي شخص يتم تجميع قصصه مع الموقع (أو أي شخص يخترق قصة يتم تجميعها) لاستغلال ثغرة أمنية.

لقد قام مؤلف قصة ReadWriteWeb ، ليديا ديفيس ، بتغيير القطعة الأصلية لاستخدام لقطة شاشة بدلاً من النص ، لكن موقع NYT لا يزال يعرض القصة الأصلية عندما فحصت للتو. إليكم القصة المحدثة حول RWW ، والنسخة المرخصة في New York Times ، والتي ستعيد توجيهك إلى RWW. إذا كنت سريعًا في السحب ، فقد تتمكن من الضغط على زر الإيقاف في المتصفح قبل أن يقوم NYT بإعادة توجيهك.

المشكلة تكمن في نموذج التعليمة البرمجية المعروض تحت # 3 في "How To: HTML Injection" جزء من القصة ، وفقا لجيمس. يقول أنه سمح لـ NYT بمعرفة مشكلة الموقع.