Сайт розничной сети Asda подвержен множественным уязвимостям

Сайт розничной торговой сети Asda был в течение двух лет подвержен нескольким XSS- и CSRF-уязвимостям. Об этом сообщает исследователь безопасности Пол Мур (Paul Moore).

По словам Мура, уязвимости присутствовали на сайте как минимум с марта 2014 года. Тогда исследователь впервые связался с представителями розничной сети и сообщил об обнаруженных проблемах. Тем не менее, специалисты Asda не отреагировали на сообщения и не исправили уязвимости.

В ноябре 2015 года Мур представил PoC-код, позволяющий проэксплуатировать присутствующие на сайте проблемы. По мнению эксперта, существование уязвимостей могло привести к серьезным последствиям.

«На сайте отсутствует защита от CSRF-атак. Можно удаленно похитить любую активную учетную запись, даже не зная логина и пароля. Также можно добавить и удалить предметы из корзины или доставить приобретенные товары по другому адресу», - сообщил Мур изданию The Register.

В течение последних месяцев эксперт активно общался со специалистами Asda. Представители компании убрали 40/56-битные шифры из конфигурации SSL, но все прочие ошибки (управление сессией по HTTP и множественные уязвимости, позволяющие осуществить XSS- и CSRF-атаки) так и не были исправлены.

В начале текущей недели специалисты Asda выпустили очередное исправление. Внесенные изменения должны были устранить возможность осуществления CSRF-атаки, но, как сообщает Мур, представители торговой сети лишь заблокировали изначальный вектор атаки. Ошибка все еще существует и позволяет злоумышленникам похитить учетные записи пользователей.