上週,國家資訊科技和自由委員會 (Cnil) 網站的負責人接到警報,稱其網站存在漏洞。跨網站腳本缺陷(也稱為 XSS)可能被惡意個人利用來存取網站的某些部分。
此漏洞是由兩名法國網路使用者 Romain 和 Jérôme 在瀏覽 CNIL 網站日曆區域時發現的。「首先,隨著錯誤頁面的出現,羅曼解釋說,我沒有特別輸入任何內容。只是我想要造訪的頁面的 URL 中有一個拼字錯誤。 »伺服器對地址的誤解導致其直接向兩個衝浪者的瀏覽器發送訊息並顯示其他內容。
對資料庫的潛在訪問
我們能夠重建該場景,並注意到,透過經過專門培訓的官方「cnil.fr」地址,可以執行某些讓訪客不太放心的操作,例如攔截他們的連接 cookie 並直接顯示資訊。傳播惡意程式碼或可能存取CNIL 資料庫。「就資料庫而言,向兩位網路使用者吐露心聲,我們沒有再繼續尋找。 »
CNIL一聯繫,就堵住了漏洞。本週二晚上,她剛剛透過秘書長揚·帕多瓦 (Yann Padova) 確認了這一更正:「我們已經進行了必要的專業知識來驗證此警報的真實性。我們確實偵測到與我們的內容管理工具擴充相關的輕微故障。我們立即進行了更新...我想指出的是,此故障不太可能損壞 CNIL 網站或危及我們的資料。 »
但從這個應該監視我們的數位自由的網站來看,這項發現的情況並不令人放心。
