Новости

Уязвимость на сайте American Express позволяет злоумышленникам получить доступ к кредитным картам


Теги: уязвимост

Присутствующая XSS уязвимость на сайте americanexpress.com позволяет атакующему перехватывать данные, используемые для аутентификации и входить на сайт с привилегиями другого пользователя.

Межсайтовый скриптинг (Cross-site scripting или XSS) является одной из самых распространенных уязвимостей в Web приложениях. Присутствующая XSS уязвимость на сайте americanexpress.com позволяет атакующему перехватывать данные, используемые для аутентификации и входить на сайт с привилегиями другого пользователя. Дальнейшая эксплуатация уязвимости позволяла злоумышленнику получить доступ к счету целевого пользователя. Об этой уязвимости сообщил Рас Макри (Russ McRee).

Макри пытался связаться с компанией American Express на протяжении двух недель, но так и не получил ни одного ответа на свои письма. Стоит учитывать, что American Express является членом Payment Card Industry Security Standards Council, в стандартах которого упоминается необходимость защиты Web-приложений в том числе и от XSS.

Как сообщает TheRegister, уязвимость была исправлена через час после публикации новостного сообщения в СМИ. К сожалению это не совсем корректная информация. Уязвимость существует в настоящий момент несколько в другой реализации:

http://search.americanexpress.com/amex/?q=now",updateElement:customUpdateElement});alert('xss');</script>

Демонстрацию предыдущей реализации уязвимости можно посмотреть на виде по адресу: http://holisticinfosec.org/video/online_finance/amex.html

Макри также обнаружил несколько XSS уязвимостей в популярной социальной сети Facebook, которые были устранены в течении часа после публикации сообщения.

SecurityLab отправил сообщение о наличии уязвимости администрации сайта American Express. Надеемся, что нам повезет больше чем Расу Макри и уязвимость будет устранена в более короткие сроки.


или введите имя



19-12-2008 17:47:20
Зачем нужны кредитные карты....
|
Ответить Ссылка
truth
19-12-2008 18:00:43
Чтобы установить тотальную слежку за движением денежных средств, а в идеале - тотальный контроль над денежными средствами...
|
Ответить Родитель Ссылка
ы
19-12-2008 18:02:36
чо они добиваються сообщая об уязвимостях.. лучшебы сами юзали а сс нужны чтобы дрочить на цыферки
|
Ответить Ссылка


                                                                                                                                                                                                                                               

Блоги
02.09.2014
<Без имени>
Добрый день, дорогие читатели! Сегодня хочу поделиться с вами ссылкой на запись своего комментария к...
02.09.2014
<Без имени>
Не хочу вдаваться в долгие рассуждения, хотя по катом привожу (да простит меня собеседник) переписку...
02.09.2014
<Без имени>
Мастер-класс, проведенный Земсковым Григорием, в рамках уникальной программы подготовки специалистов...
02.09.2014
<Без имени>
Последнее время все чаще и чаще взламывают электронную почту и облачные хранилища людей, к...
02.09.2014
<Без имени>
TOP-10 индикаторовкомпрометации(IOC) по версии Trustwaveи рекомендации по реагированию на них ...
02.09.2014
<Без имени>
Вчера, в день знаний, внесли в Госдуму законопроект №596277-6 "О внесении изменения в статью ...
02.09.2014
<Без имени>
С 1 января 2015 года в Республике Казахстан Pвступает в действиеPПостановление Правления Нацбанка ...
02.09.2014
<Без имени>
Путём нехитрых манипуляций установил на iPhone бета версию iOS 8 (если интересно — в кон...
01.09.2014
<Без имени>
Григорий Земсков из "Ревизиум" рассказал, как безопасно работать по FTP протоколу.
Из передач...
01.09.2014
<Без имени>
Когда-то давно я услышал примерно такую фразу: "Не надо зацикливаться на проблеме и постоя...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск



Рекомендации Центробанка по обеспечению информационной безопасности автоматизированных банковских систем

Приглашаем на VII Международную конференцию "BUSINESS INFORMATION SECURITY SUMMIT'2014"