Gallup修复了两个严重的跨站脚本XSS漏洞

关键要点

Gallup网站修复了两个XSS漏洞，可能导致数据被窃取和账户被接管。漏洞源于未对查询字符串参数进行正确的清理或编码。这两个漏洞已经被检测并确认修复，且没有证据表明已被利用。针对XSS漏洞的防护对于涉及政治和社交信息的网站至关重要。

Gallup网站根据Checkmarx发布的报告于周二确认修复了两个可能导致数据盗取和账户接管的跨站脚本XSS错误。这两个缺陷是由于在某些Gallup端点缺乏对特定查询字符串参数的适当清理或编码，攻击者可以通过在合法的Gallup域名URL后附加自己的值，诱使受害者点击这些被操控的链接。

研究人员在概念证明PoC视频中展示了其中一个漏洞如何在Gallup在线商店的结账过程中获取未经身份验证的受害者的信息，另一个漏洞则可以代表已登录的受害者执行操作，最终导致他们的Gallup账户被接管。

“鉴于XSS似乎无处不在，教授安全编码基本知识变得比以往任何时候都更为重要，即在Web应用程序中始终对输出进行编码。XSS容易学习预防，易于扫描代码，且易于修复，但您需要对开始根除这一漏洞类有意识。”Veracode首席技术官兼创始人Chris Wysopal在接受SC Media采访时表示。

这两个XSS漏洞由Checkmarx在6月23日报告给Gallup的事件响应团队，并在7月11日被确认完全修复。没有迹象表明这些缺陷曾在真实环境中被利用。

利用Gallup的信誉进行社交工程

Gallup因其公众舆论调查而闻名，包括涉及美国政治和选举的调查。攻击者可以利用Gallup的gxgallupcom和mygallupcom域名中的XSS漏洞，欺骗受害者点击来自合法gallupcom网站的链接，但最终导致数据提取或会话劫持。

第一个漏洞的CVSS评分为65，是反射型跨站脚本的一个例子，其中HTTP请求中的数据被直接不安全地包含在响应中。由于/kioskgx端点未能在将ALIAS参数的查询字符串包括在网页之前进行清理或编码，攻击者可以构造一个参数值，从而导致一旦受害者点击链接，就在其导航会话的上下文中执行任意代码，Checkmarx的研究人员写道。

研究人员展示的PoC漏洞攻击是攻击者让受害者通过点击链接参与调查，该链接属于gxgallupcom域名，这是访问Gallup网站上调查的常用域名。受害者无需登录即可成功实施攻击。

当受害者点击该链接时，由于附加的查询字符串，受害者的浏览器将从攻击者控制的域名加载一个JavaScript文件，然后利用Gallup网站的JSONP端点提取受害者会话中的Digital River API访问令牌。Digital River是Gallup用于处理其在线商店的购买信息的电子商务服务。

在购买过程中，用户提交的信息，例如姓名、地址和支付信息，可以通过提取的令牌访问攻击者还可以利用这些令牌向受害者的Gallup购物车中添加新产品。

轻蜂加速器app

第二个漏洞涉及基于文档对象模型DOM的XSS，在这种情况下，来自不可信源的数据被客户端JavaScript不安全地处理，该JavaScript将此不可信数据写回到DOM中，如Checkmarx所述。该漏洞的CVSS评分为54，由于/Portal/ApplicationAsync端点未能在将searchTerm查询字符串参数值包含在网页之前进行清理或编码，可能导致账户接管，研究人员写道。与前一个漏洞类似，如果攻击者构造恶意查询字符串并将其发送给受害者的钓鱼链接，则会从攻击者控制的域名检索并执行JavaScript文件。

在这种情况下，钓鱼链接来自mygallupcom域名，恶意JavaScript会自动将受害者的账户电子邮件地址更改为攻击者自己的电子邮件