XSS

XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.

Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.

Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.

27 апреля, 2012

Создание скриншотов окна браузера с помощью HTML5 и XSS

Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5. С появлением HTML5, XSS уязвимости становятся более опасными. Теперь злоумышленник может не только похитить учетные данные пользователя, но и создать скриншот окна браузера и получить данные, к которым у него ранее...

22 марта, 2012

Сайты крупнейших банков опасны для пользователей

....mastercardpremium.ru. Последний является рекламной площадкой и содержит только информацию о программе MasterCard Избранное. С помощью описанных исследователями уязвимостей злоумышленники могут получить доступ к счетам клиентов, например, с помощью XSS-Proxy и похитить денежные средства. В этом случае даже авторизация по одноразовым паролям не спасет клиента, поскольку злоумышленник может обманом заставить пользователя авторизоваться на сайте с помощью OTP. Получив полный контроль над браузером...

12 марта, 2012

XSS

XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS...

28 февраля, 2012

Румынский исследователь обнаружил XSS уязвимость в ЖЖ

Исследователь безопасности разместил в YouTube ролик, содержащий описание эксплуатации уязвимости в LiveJournal. Румынский исследователь под псевдонимом Sony опубликовал в своем блоге код двух эксплоитов к уязвимости межсайтового скриптинга в LiveJournal. Вместе с кодом прилагаются скриншоты и видеоролик под названием «LiveJournal Cross Site Scripting». В клипе исследователь иллюстрирует выполнение эксплоитов. На момент публикации новости уязвимости на сайте ЖЖ были устранены. Отметим...

23 января, 2012

Пользователи IE под угрозой XSS-атак

Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI. Как сообщает IMPERVA, в web-обозревателе Internet Explorer (IE) присутствует уязвимость межсайтового скриптинга (XSS). По информации специалистов, уязвимость существует из-за того, что браузер некорректно обрабатывает двойные кавычки (“). IE не обрабатывает символы двойной кавычки в части запроса Uniform Resource Identifier (URI). Web-сайты могут посчитать специально...

20 декабря, 2011

В свободном доступе появился код для хищения личных данных клиентов банков

Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XSS уязвимость. Специалист в области информационной безопасности Никлас Фемерстранд (Niklas Femerstrand) опубликовал в свободном доступе код, предназначенный для хищения личных данных пользователей web-сайтов банковских учреждений. Согласно утверждениям...

20 сентября, 2011

XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу

Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone. По какой-то причине многие женщины и мужчины готовы отдать состояние за то, чтобы прочитать SMS сообщения или просмотреть список контактов своих близких. Если эти близкие приобрели iPhone и установили на него Skype...

07 сентября, 2011

Хакер обнаружил XSS-уязвимости на 20 популярных web-сайтах

... на 20 web-сайтах правительственных организаций и компаний с мировым именем. В списке скомпрометированных ресурсов есть сервера Государственного департамента США, издательства The Telegraph, франчайзинговой сети McDonalds's и пр. Cross-Site Scripting (XSS) – это уязвимость, которая обычно обнаруживается на web-приложениях. Она позволяет злоумышленнику выполнять инъекцию произвольного кода на страницы, которые просматривают третьи лица. Список уязвимых web-сайтов: http://video.state.gov http://www...

04 августа, 2011

В ICQ устранена XSS-уязвимость

Компания Mail.ru устранила уязвимость, которая позволяла захватывать учетные записи пользователей службы ICQ. Представители Mail.ru сообщают об успешном закрытии XSS-уязвимости в ICQ, которая позволяла злоумышленникам перехватывать сессии пользователей. Напомним, что на прошлой неделе, исследователь компьютерной безопасности Левент Кайан (Levent Kayan) обнаружил уязвимость в клиенте ICQ для Windows, а также на...

03 августа, 2011

Новый сервис от компании Veracode будет проверять сайты на наличие уязвимостей

... позволит клиентам осуществлять быстрое сканирование веб-приложений на наличие уязвимостей, которые часто используются злоумышленниками для компрометации сайтов и кражи личных данных. Вице-президент компании Сэм Кинг (Sam King) отметил: «Так как XSS, SQL-инъекции все чаще используются взломщиками, в том числе – группами хакеров Anonymous и Lulz Security, для кражи личных данных, не удивительно, что бизнес-клиенты Veracode задаются вопросом, не подвержены ли их ресурсы аналогичным нападениям»...

23 июня, 2011