安全研究

业界动态
意义重大 云安全公司Zscaler云管理软件出现跨站攻击漏洞 得手后或者伪装诈骗或者DDoS都可以

Zscaler云管理软件中已修复的XSS漏洞,这个缺陷可能被攻击者利用,从而攻击云环境中的其它用户。Zscaler Cloud管理软件中存在严重跨站脚本(XSS)缺陷,可能会被黑客利用。  

 

zscaler是什么   

Zscaler是一家全球云安全公司,提供互联网安全、 web 安全、 下一代防火墙、 沙盒,SSL 检验、 防病毒、 漏洞管理及颗粒控制,业务在云计算、 移动和互联网领域均有涉及。   

 

总部位于加州圣何塞市的Zscaler已为5000多家企业和机构的云应用提供安全保障。2015年,获得Google旗下Google Capital的2500万美元投资。   

 

Zscaler网站上发布XSS漏洞公告   

Zscaler has addressed persistent XSS vulnerabilities identified in admin.zscaler[X].net and mobile.zscaler[X].net portals.    

     The post-auth vulnerabilities would have allowed authenticated admin users to inject client-side content into certain admin UI pages which could impact other admin users of the same company.    

     Zscaler would like to thank Alex Haynes for responsibly reporting the issues and working with Zscaler to ensure that they were properly remediated.    

 

Zscaler云管理软件中的跨站攻击漏洞,一旦被攻击者利用,在用户访问管理界面的时候,其浏览器就会被注入恶意的HTML和javascript。之后,只要攻击者需要登录到这个网站,就可以接管其它用户的账户,并以该用户的身份实施攻击行为。 

  

Zscaler强调,缺陷会暴露同一组织内的黑客用户,因为攻击者只能在他们访问Zscaler的管理门户时,才可以将代码注入网页。“Zscaler已经解决了在admin.zscaler [X] .net和mobile.zscaler [X] .net门户中的XSS漏洞。这个漏洞,允许通过身份验证的管理员用户将恶意内容注入某些管理UI页面,这可能会影响同一公司的其他管理员用户。“Zscaler安全建议 ,   “Zscaler感谢Alex Haynes报告问题,并与Zscaler合作,确保他们得到适当的补救。    

 

跨站攻击是什么   

跨站攻击,即Cross Site script Execution(通常简写为XSS) ,是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。   

跨站攻击形式时常容易被忽视,但带来的危害却不小。   

 

本文由:securityaffairs 发布,版权归属于原作者。                        
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/zscaler-cloud-cross-site-attacks
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭