演示机型:华为MateBook X 系统版本:win10 Zscaler是一家全球云安全公司,提供互联网安全、web安全、下一代防火墙、沙盒,SSL检验、防病毒、漏洞管理及颗粒控制,业务在云计算、移动和互联网领域均有涉及。
Zscaler云管理软件中的跨站攻击漏洞,一旦被攻击者利用,在用户访问管理界面的时候,其浏览器就会被注入恶意的HTML和javascript。之后,只要攻击者需要登录到这个网站,就可以接管其它用户的账户,并以该用户的身份实施攻击行为。
Zscaler强调,缺陷会暴露同一组织内的黑客用户,因为攻击者只能在他们访问Zscaler的管理门户时,才可以将代码注入网页。Zscaler已经解决了在admin.zscaler [X] .net和mobile.zscaler [X] .net门户中的XSS漏洞。这个漏洞,允许通过身份验证的管理员用户将恶意内容注入某些管理UI页面,这可能会影响同一公司的其他管理员用户。Zscaler安全建议 , Zscaler感谢Alex Haynes报告问题,并与Zscaler合作,确保他们得到适当的补救。