นักวิจัยด้านความปลอดภัยพบช่องโหว่บน Wix ขโมยเว็บไซต์ทั้งหมดบน Wix ได้

Matt Austin นักวิจัยด้านความปลอดภัยอาวุโสจาก Constrast Security ได้ออกมาเปิดเผยว่าพบช่องโหว่ DOM-based Cross-site Scripting บน Wix.com ผู้ให้บริการเว็บไซต์บน Cloud ที่มีเว็บไซต์อยู่นับล้านบนนั้น และถึงแม้จะแจ้ง Wix.com ไปแล้วตั้งแต่เดือนตุลาคม จนถึงทุกวันนี้ช่องโหว่นั้นก็ยังคงปรากฎอยู่

ช่องโหว่นี้สามารถเกิดขึ้นได้โดยการปรับค่า Parameter เพียงค่าเดียวบนเว็บไซต์ใดๆ ของ Wix ก็ได้ เพียงเท่านี้ก็ทำให้โค้ด JavaScript ของผู้โจมตีสามารถทำงานเป็นส่วนหนึ่งของเว็บไซต์เป้าหมายได้แล้ว และการโจมตีนี้ก็จะนำไปสู่การขโมย Session ของผู้ที่เปิดเว็บไซต์บน Wix รายอื่นๆ ให้สามารถเข้าถึงฐานข้อมูลหรือเลขบัตรเครดิตที่เก็บเอาไว้บน Wix หรือแก้ไขให้เว็บไซต์ต่างๆ บน Wix นั้นกลายเป็นฐานแพร่กระจาย Virus หรือ Ransomware ได้

ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ https://www.contrastsecurity.com/security-influencers/dom-xss-in-wix.com นะครับ

ก็เป็นอีกกรณีศึกษาที่น่าสนใจครับว่า Cloud นั้นไม่ได้มีแต่เพียงข้อดีเพียงอย่างเดียว ดังนั้นถ้าหากจะเลือกใช้บริการ Cloud ใดๆ ก็ต้องเลือกพิจารณาให้ดีครับ

ที่มา: https://threatpost.com/unpatched-vulnerability-on-wix-com-puts-millions-of-sites-at-risk/121752/