新闻链接：http://blog.lumension.com/9973/xss-flaws-expose-weaknesses-on-amazon-and-uk-newspaper-websites/
新闻时间：2015-03-31
翻译：housejar
      跨站脚本(XSS)漏洞是网站最常见的漏洞之一，该漏洞能够被恶意黑客利用窃取用户账号，更改用户设置和骗取（phish-钓鱼）登陆凭证等。
      很不幸，只要一个web开发人员犯了错就能够导致网络黑客利用该漏洞发动潜攻击。然而，你肯定会认为世界上最为繁忙的网站一定会花尽心思让他们的开发人员避免在编写代码时给跨站脚本攻击以可乘之机。但是，这样的漏洞总是会发生在我们耳熟能详的网站。例如，上周一个叫做Brute Logic的白帽子揭秘了位于亚马逊 Amazon.com网站上的一个跨站脚本（XSS）漏洞。

    幸运的是，Brute Logic利用精心构造的URL触发该漏洞，仅让网站显示了下“XSSPOSED”的漏洞演示对话框外没做别的事情。然而，同样的漏洞很容易被利用与重定向用户页面到一个钓鱼网站，窃取亚马逊用户账户，或者上传一些旨在感染访问客户机的恶意内容。
      Brute Logic说他并不愿意给亚马逊提供关于这个严重漏洞的信息。他解释道，亚马逊不愿为漏洞发掘者提供赏金，并且漏洞研究人员也并不认为他们能无偿为亚马逊的安全团队服务。
作为一个漏洞研究人员，他向Beta News说他并不觉得自己有责任分享信息世界的其余部分之前通知网站：“我认为这是一个网站/服务器的问起。我们正在迫使网站变得安全，使他们老板关注正发生于黑客社区的事情。不重视安全使他们的错。但是我们是安全如生命。”
      就个人而言，我并不同意这样的观点。我认为我们每个互联网公民都有责任去共挖掘修补漏洞，而不是暴露无辜的用户于危险之中。我想如果漏洞研究人员与软件供应商和网站所有者合作，以获得及时的漏洞修补。
      同时，我也能够理解Brute Logic的无奈。这些研究演员花了数小时的时间到漏洞挖掘上，并发现了本应该由亚马逊安全团队挖掘的漏洞，但是亚马逊并不会给这些发掘者一分一毫以示奖励。
也许至此以后，亚马逊将会明智地设立一个奖励项目，就像其他公司所做的那样（例如，可以在HackOne上查看一些项目）。

IT Pro Portal 报道，研究人员发现一个XSS洞，漏洞为与英国一些报纸的网站。该网站由Johnston媒体出版集团运营，日均访问量达千万用户。
Burte Logic 发现这些网站，包括Worthing Herald都存在受到XSS漏洞危害的风险，该漏洞可重定向访问客户机到恶意网站或钓鱼网站。

漏洞猎手向IT Pro Protal解释该问题的严重性：
  "漏洞尚未得到修复，worthingherald.co.uk的用户，访问者和管理员信息泄露的风险。cookies，个人数据，认证证书和浏览器历史记录失窃的危险性都小于XSS个攻击。XSS攻击变得越来越复杂，最近，正被用于社会工程，spear 钓鱼和 drive-bay攻击。"
     如果你作为一个Web开发人员，请确保你避让，约占XSS漏洞以及如何减轻对他们。否则，它可能是你的下一个公司是做了头条新闻的所有错误的原因，并把你的用户处于危险之中。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课