XSS уязвимость на сайте Avira позволяла скомпрометировать учетные данные пользователей

image

Теги: XSS, уязвимость, Avira, компрометация, новость

Исследователь решил продемонстрировать эксплуатацию бреши разработчикам антивирусного ПО.

Злоумышленники могли использовать XSS уязвимость для получения доступа к личным данным пользователей и компрометации их учетных записей. К такому выводу пришел Ибрагим Хезаги (Ebrahim Hegazy), египетский ИБ-эксперт.

Исследователь обнаружил уязвимость межсайтового скриптинга на сайте daemon. license.avira.com, принадлежащем антивирусной компании Avira.

Исследователь опубликовал видеоролик, демонстрирующий эксплуатацию XSS уязвимости для компрометации учетных данных пользователей:

С этой целью Хезарги создал следующие файлы:

avira.html – ложная страница авторизации;

log.php – логгер, записывающий данные учетной записи

avira.txt – файл, в котором сохраняются эти данные

done.html – страница, сообщающая о взломе.

Как утверждает исследователь, сотрудники Avira исправили существовавшую брешь практически сразу после ее обнаружения.

XSS уязвимости являются довольно распространенными брешами безопасности в web-приложениях. По статистике SecurityLab, 33,5% от всех бюллетеней, опубликованных в 2012 году, пришлись на уязвимости межсайтового скриптинга.


или введите имя

CAPTCHA
Mr. St
15-04-2013 14:13:16
это самый неадекватный из антивирей, которые я встречал
0 |
Kiyoshi
15-04-2013 21:58:27
Обосновывать свою точку зрения мы конечно не умеем...
0 |
Костик
15-04-2013 23:29:44
а я вот согласен, иногда кажется что он тупо всё что к интернету обращается и без сертификата предлагает запускать на свой риск.
0 |