在线广告公司在其平台上修复了一个漏洞,可以让黑客从大量用户窃取信息。
平台中的横向网站脚本(XSS)缺陷PubliciticClerks.由U.k.的安全研究员发现了Cehsecurity.在推特上。
跨站点脚本缺陷是网站中最常见的故障之一。它们允许攻击者将恶意代码注入网站,然后可以用于窃取数据和其他攻击。
“一旦我们意识到这个问题,我们就会尽快解决,确保我们的广告商和出版商不受影响,”PublicityClerks的创始人兼首席执行官表示,“James Hakim说。
该漏洞专门以广告商使用的形式,以将其广告上传到PublicityClerk的平台。表单中的一个字段没有正确过滤出恶意代码。
Cehsecurity在接受采访时表示,即时通讯,他将能够创建广告,当在受害者的计算机上显示时,可以窃取用户的饼干。
Cookie是由在一个人的Web浏览器中存储的在线跟踪器创建的小数据文件,录制诸如人浏览历史的信息。
广告平台的漏洞可能尤其如此。由于在线广告公司可以为许多具有大量访问者的网站提供广告,因此恶意广告可以在短时间内出现在大量计算机上。
该技术被称为恶意,在线广告公司一直在努力搭载他们的系统以保持有害的广告。
PubliciticClerks表示,它有10,000个注册网站和广告商,每月提供约1500万广告印象。
Cehsecurity表示,PublicityClerks的错误可以很容易地修复。
他还发现他可以游戏PublicityClerks的结算系统。通过修改脚本,他可能会导致PublicityClerks的系统认为广告印象尚未提供并发出退款。
他说,该过程可能会反复发生,造成更多才能在退款时发出,而不是放置广告的人。