Хакеры Карим Рахаль и Ибрам Марзук обнаружили несколько уязвимостей межсайтового скриптинга в HTML Comment Box, которые позволили скомпрометировать данные пользователей около двух миллионов веб-сайтов.
Рахаль () и Марзук (), оба 14-летние студенты из Ливана, сообщили о найденных уязвимостях в рамках программы Detectify по вознаграждению за найденные уязвимости.
Эти бреши могут позволить злоумышленникам вставить код в систему комментариев сайта, тем самым скомпрометировать посетителей, которые пожелают их оставить.
«Я был очень удивлен, когда обнаружил, как много сайтов используют сторонние сервисы комментариев, около двух миллионов» - говорит Рахаль.
Рахаль смог обойти фильтры, защищающие от уязвимости межсайтового скриптинга, используя двойные атрибуты, закрывающие теги и точку с запятой. Разработчики исправили бреши спустя несколько часов после того, как получили сообщение о них.
