Karim Rahal ve Ibram Marzouk, buldukları birkaç CSS açığı ile gündemde. Yaklaşık olarak 2 milyon site tarafından kullanılan HTML Yorum Kutuları, bu açıklardan etkileniyor.
Rahal ve Marzouk Lübnan'da yaşayan 14 yaşında iki öğrenci ve bu açıkları, Detectify'ın siteler arası şifreleme açıklarını bulma ödül programı dahilinde açıkladılar.
Açıklar, saldırganların site yorumlarına bir kod ekleyerek, bu kod ile karşılaşan ziyaretçileri etkilemelerine sebep oluyor. Rahal, kaç sitenin üçüncü parti arama bölümünü kullandığı hakkında basit bir Google incelemesinin ardından yaklaşık 2.000.000 sonucun karşısına çıkması ile oldukça şaşırdığını söylemekte.
Rahal, geliştiricinin siteler arası kodlama filtrelerini sonlandırarak aşmayı başarmıştı. Geliştiriciler bu açığı, öğrenilmesinin saatler sonrasında kapamayı başardılar.
Siteler arası kodlama (Cross-site scripting - CSS), halen internet uygulamalarının en zayıf noktası olarak karşımıza çıkıyor ve İsviçreli güvenlik ekibi High-Tech Bridge'in söylediğine göre tüm açıkların üçte birinden fazlasını oluşturuyor.
Bu yüzden de pek çok internet firması, siteler arası kodlama açıkları için oldukça yüksek ödüller sunmakta...