加州民调网站的跨站脚本漏洞

关键点提取

• Gallup网站存在两个跨站脚本（XSS）漏洞，分别是反射型和基于文档对象模型（DOM）的XSS漏洞。
• 两个漏洞的CVSS评分分别为6.5和5.4，但并不影响Gallup内部数据或民调结果。
• Checkmarx建议网络安全团队在发送数据时进行适当编码，并调整内容安全政策以抵御类似攻击。

随着选举季节在夏季逐渐升温，Gallup民调公司迅速对其网站上的一对跨站脚本（XSS）漏洞进行修补，这些漏洞使得其网站容易受到恶意行为者的利用。

Checkmarx的网络安全研究人员在其中提到，他们于6月23日首次联系Gallup的事件响应团队，报告了这两个XSS漏洞——第一个是反射型XSS漏洞，CVSS评分为6.5，第二个是基于文档对象模型（DOM）的XSS漏洞，CVSS评分为5.4。

需要注意的是，这些漏洞并不会影响Gallup的内部数据或民调结果。

Gallup的跨站脚本漏洞分析

就第一个反射型XSS漏洞而言，研究人员发现“/kiosk.gx端点在将查询字符串的ALIAS参数值包含在页面上之前，没有正确地进行清理或编码。”

而第二个漏洞中，该端点同样未能在将查询参数值添加到页面之前进行保护。

为了避免类似的XSS漏洞，Checkmarx的研究人员建议网络安全团队在将数据发送到响应标记（HTML）或页面DOM之前，确保数据经过适当编码。此外，他们还建议调整内容安全政策，以阻止浏览器获取或执行脚本的地点。

这篇文章已于2024年9月11日东部时间上午11:30更新，反映出这些漏洞影响的是网站，而不是Gallup Poll本身。

2024年9月11日下午4:53又做了一次更新，澄清这两个漏洞并未导致攻击者访问Gallup.com的基础设施，也不会使内部数据面临泄漏风险。

最后，于2024年9月12日下午1:03进行的第三次更新则删除了基于现已争议的Checkmarx原始博客部分的文章内容。