GÜNCELLEME
Editörün Notu: Dark Reading, Checkmarx’ın bu güvenlik açıklarına ilişkin orijinal araştırmasının bir kısmının tartışmalı olduğunun farkına vardı ve bu nedenle aşağıdaki haberimizin bazı bölümlerini geri çekmek zorunda kaldık.
Yaz aylarında seçim sezonu yavaş yavaş yaklaşırken, Gallup anket şirketi, şirketin web sitesinde kötü niyetli kişilerin kötüye kullanımına açık hale getiren iki çapraz site betik çalıştırma (XSS) açığını kapatmak için harekete geçti.
Checkmarx’taki siber güvenlik araştırmacıları 9 Eylül tarihli bir raporda, Gallup’taki olay müdahale ekibiyle ilk olarak 23 Haziran’da iletişime geçerek rapor verdiklerini açıkladılar XSS kusurları — ilki 10 üzerinden 6,5 CVSS puanına sahip yansıtılmış bir XSS hatası, ikincisi ise 5,4 CVSS puanına sahip bir belge nesne modeli (DOM) tabanlı XSS güvenlik açığı.
Bu kusurlar Gallup’un dahili verilerini veya anketlerini etkilemiyor.
Gallup’un Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açıkları
Yansıyan ilk XSS açığında araştırmacılar, “/kiosk.gx uç noktasının, sorgu dizesi ALIAS parametre değerini sayfaya eklemeden önce düzgün bir şekilde temizlemediğini veya kodlamadığını” buldular.
İkinci kusurda, uç nokta bir kez daha sorgu parametre değerlerini sayfaya eklemeden önce korumayı başaramadı.
Benzer XSS kusurlarından kaçınmak için, Checkmarx’taki araştırmacılar siber güvenlik ekiplerinin verilerinin yanıt işaretlemesine (HTML) veya sayfa DOM’una gönderilmeden önce düzgün bir şekilde kodlandığından emin olmalarını öneriyor. Ayrıca, tarayıcının betikleri alabileceği veya çalıştırabileceği konumları engellemek için içerik güvenlik politikasının ayarlanmasını öneriyorlar.
Bu gönderi, hataların Gallup Anketi’ni değil, web sitesini etkilediğini yansıtmak için 11 Eylül 2024, 11:30 ET’de güncellendi.
11 Eylül 2024 saat 16:53’te (ET) yapılan bir diğer güncellemede, bu güvenlik açıklarından hiçbirinin saldırganların Gallup.com altyapısına erişmesine izin vermediği ve dahili verileri tehlikeye atmadığı açıklığa kavuşturuldu.
Üçüncü güncelleme, 12 Eylül 2024 günü saat 13:03’te, orijinal Checkmarx blogunun artık tartışmalı kısımlarına dayanan makalenin bazı bölümlerini kaldırmak için yapıldı.