Dropbox ยินยอมให้ผู้ใช้งานอัพโหลดไฟล์ที่ฝังจาวาสคริปต์ได้ เสี่ยงต่อการโจมตีแบบ XSS

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 17 มิถุนายน 2014.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    Mohamed Ramadan ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการเปิดเผยปัญหาด้านความปลอดภัยของ Dropbox ซึ่งกระทบต่อทั้งผู้ใช้งานบนเว็บและแอพบน iOS ในขณะที่ Dropbox ปฏิเสธว่าเป็น "ช่องโหว่" ด้านความปลอดภัย

    ปัญหานี้คือการยินยอมให้มีการเอ็กซีคิวต์จาวาสคริปต์ที่ถูกฝังอยู่ในไฟล์ประเภท HTML และ SWF ได้เมื่อมีการอัพโหลดและแชร์ไปยังผู้ใช้งานอื่น การโจมตีอย่าง XSS มักจะใช้วิธีเดียวกันนี้ในการโจมตีและขโมยข้อมูลของผู้ใช้งาน

    ทางด้าน Dropbox ได้ตอบอีเมลชอง Ramadan ว่านี่ไม่นับเป็นช่องโหว่ด้านความปลอดภัยของ Dropbox เพราะจำเป็นต้องให้ผู้ใช้อัพโหลดและแชร์ไฟล์ อีกทั้งไฟล์ที่ถูกอัพโหลดไปจะอยู่บนโฮสต์ dl-web.dropbox.com ไม่ใช่ www.dropbox.com โดยตรง ปัญหาได้ความปลอดภัยนี้จึงยังคงอยู่และไม่ได้รับการแก้ไขใดๆ ผู้ใช้งานจึงควรเพิ่มความระมัดระวังเองทุกครั้งเมื่อใช้งาน

    ที่มา - Attack-secure

    Security, Dropbox
     

แบ่งปันหน้านี้