Seorang peneliti keamanan Rafay Baloch telah mengidentifikasi kerentanan cross-site scripting (XSS)
dan SQL Injection flaw pada website resmi ESET Taiwan (eset.tw).
"Kotak pencarian rentan.sekali pengguna menyisipkan koma terbalik dalam kotak pencarian,peringatan dieksekusi.Pada awalnya ini terlihat sebagai XSS itu sendiri,tapi bagaimanapun juga hal itu bisa dieksploitasi menggunakan tehnik clickjacking,sejak X-frame header tidak di set,membuat halaman berubah jadi IFRAME" ujar peneliti tersebut.
SQL injection di sisi lain bisa di eksploitasi oleh penyerang untuk memperoleh akses ke database situs tersebut. Berkat penemuan dan mencontohkan praktek pengungkapan bertanggung jawab,pihak ESET Security Team secara resmi mengucapkan terima kasih kepada peneliti tersebut sekaligus memberikannya lisensi gratis dari ESET Smart Security.
"Informasi dari anda telah sangat membantu kami dan mitra kami untuk bertanggung jawab dalam meningkatkan layanan keamanan online kami dan mencegah terjadinya eksploitasi berbahaya terhadap kerentanan ini" kata perwakilan ESET kepada Rafay Baloch.
Sumber: Softpedia
dan SQL Injection flaw pada website resmi ESET Taiwan (eset.tw).
"Kotak pencarian rentan.sekali pengguna menyisipkan koma terbalik dalam kotak pencarian,peringatan dieksekusi.Pada awalnya ini terlihat sebagai XSS itu sendiri,tapi bagaimanapun juga hal itu bisa dieksploitasi menggunakan tehnik clickjacking,sejak X-frame header tidak di set,membuat halaman berubah jadi IFRAME" ujar peneliti tersebut.
SQL injection di sisi lain bisa di eksploitasi oleh penyerang untuk memperoleh akses ke database situs tersebut. Berkat penemuan dan mencontohkan praktek pengungkapan bertanggung jawab,pihak ESET Security Team secara resmi mengucapkan terima kasih kepada peneliti tersebut sekaligus memberikannya lisensi gratis dari ESET Smart Security.
"Informasi dari anda telah sangat membantu kami dan mitra kami untuk bertanggung jawab dalam meningkatkan layanan keamanan online kami dan mencegah terjadinya eksploitasi berbahaya terhadap kerentanan ini" kata perwakilan ESET kepada Rafay Baloch.
Sumber: Softpedia