Af Torben B. Sørensen, 26/01/17
HTML Comment Box, der lader brugere indsætte kommentarer på websider, har lukket et sikkerhedshul af typen cross-site scripting.
Sikkerhedshullet gjorde det muligt at indtaste script-kode i kommentarboksen og få den afviklet, når brugere så siden med kommentaren.
En søgning på Google finder frem til over 700.000 websider, der indeholder koden fra HTML Comment Box.
En 14-årig sikkerhedsforsker opdagede sårbarheden og rapporterede den til dusørprogrammet Detectify Crowdsource. De fik fat i udviklerne, der lukkede hullet efter nogle timer.
Links
- Stored XSS-ing Millions Of Sites Through HTML Comment Box, blogindlæg fra Detectify
- Comments Widget Exposed Many Websites to Attacks, artikel fra SecurityWeek
- Kid hackers break XSS defences, find hack hole in 2 million websites, artikel fra The Register