На данный момент брешь все еще остается неисправленной.
Вчера, 1 марта, исследователь безопасности под псевдонимом yarbabin сообщил о XSS-уязвимости на web-сайте новостного издания The Huffington Post. По данным портала xssposed.org, за все время существования ресурса специалистами в общей сложности было обнаружено 8 XSS-брешей.
Уязвимый URL выглядит следующим образом:
http://www.huffingtonpost.com/_slideshows/ipad_slideshow.php?id=213042 &entry=lol"><script>alert(/XSSPOSED/)</script>
На момент написания новости уязвимость все еще оставалась неисправленной, подвергая пользователей, посетителей и администраторов ресурса huffingtonpost.com риску компрометации злоумышленниками.
Кража cookie-файлов, персональной информации, учетных данных и истории браузера являются, пожалуй, наименее опасными последствиями XSS-атак. В настоящее время подобные атаки становятся более сложными и зачастую используются вместе с практиками целевого фишинга, социального инжиниринга и атаками drive-by.