Security Lab

XSS

1620
XSS
XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.

Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.

Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь

Промышленный Wi-Fi трещит по швам: что нужно знать об уязвимостях Advantech

Простые ошибки, ведущие к катастрофическим последствиям.

Срочно проверьте ПО: CISA и ФБР начинают борьбу против XSS

Предложение ведомств призвано улучшить безопасность новых версий программ.

Критические уязвимости в MLOps: 20+ векторов атак на ИИ-модели

Исследователи обнаружили более 20 слабых мест в платформах машинного обучения.

OAuth и XSS: смертельный коктейль для безопасности веб-гигантов

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации.

От макросов к MSC: хакеры Kimsuky осваивают новую технику шпионажа

Действия Microsoft вынудили Северную Корею использовать системные файлы для атак на Windows.

GrimResource: безобидный файл MSC стал троянским конем в Windows

Отключение макросов в Office привело к очередной лазейке для незаметного взлома.

Поддельные администраторы и межсайтовый скриптинг: хакеры берут сайты на WordPress штурмом

Кибербандиты массово внедряют бэкдоры в файлы плагинов и тем оформления.

Не ждите, пока ваш аккаунт взломают: CVE-2024-4835 касается каждого разработчика

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.

Исправляйте до релиза: Path Traversal – главный враг разработчиков

CISA и ФБР призывают к срочным мерам по защите кода.

Открыты для хакеров: SilkSecured бросает вызов суверенитету Китая

Как халатность властей КНР ставит под удар безопасность граждан.

5 ошибок Joomla: разработчики CMS позволяют хакерам взломать ваш сайт

Joomla играет в догонялки с хакерами, срочно исправляя уязвимости.

За кулисами кибервойны: как взламываются посольства и правительства

Recorded Future раскрывает деятельность хакеров, отслеживающих политическую отрасль Европы.

OpenAI признала: GPT-4 может самостоятельно взломать любой сайт

GPT-4 лучше и дешевле пентестеров в поиске уязвимостей.

CVE-2023-43770: уязвимость Roundcube превращает вашу приватную переписку в открытую книгу

CISA бьет тревогу: федеральные структуры обязаны разобраться с проблемой до 4 марта.

Не игнорируйте обновления: Cisco, Fortinet и VMware предотвратили утечки данных в своих продуктах

Новые исправления уязвимостей направлены на защиту данных и предотвращению взлома.

«ResumeLooters» против соискателей: как найти работу, не лишившись личных данных

Использование SQL-инъекции и XSS стало главным оружием в руках злоумышленников.

CVE-2024-23897: захват сервера Jenkins с помощью одного символа

Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами.

Безопасность 150 000 WordPress-сайтов под вопросом из-за уязвимостей в популярном плагине

Обход авторизации и межсайтовый скриптинг ставят под угрозу конфиденциальность данных.

Command Injection в pfSense: хакеры могут выполнить удаленный код на брандмауэрах

Программное обеспечение для защиты сетей внезапно само стало источником проблем с безопасностью.

Плагин AMP превратил сайты WordPress в площадку для вредоносной рекламы

Исправленная ошибка использовала посетителей сайта как индикатор активации скрипта.

Уязвимостью CVE-2023-37580 в Zimbra успели воспользоваться сразу 4 хакерских группировки

Zero-day в популярном почтовом клиенте обернулся потерей данных для тысяч пользователей.

Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс.

Хакеры Winter Vivern активно эксплуатируют 0-day уязвимость в почтовом клиенте Roundcube

От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь.

Balada Injector заразил тысячи WordPress-сайтов с помощью уязвимости tagDiv Composer

Даже премиальные темы порой могут принести владельцам сайтов неприятные сюрпризы.

Supermicro обеспечила хакерам вечную жизнь на ваших серверах

Злоумышленники благодарят Supermicro за новые уязвимости в BMC-контроллерах.

Кейс: как мотивировать разработчиков заниматься вопросами безопасности

Продукция Citrix подвергается активным хакерским атакам благодаря нескольким уязвимостям нулевого дня

Корпоративным пользователям NetScaler ADC и NetScaler Gateway нужно срочно обновить своё ПО до актуальной версии.

Что случилось с Lemmy? Подробности масштабного взлома и его последствий

Несколько альтернативных сайтов Reddit на базе Lemmy были взломаны из-за уязвимости нулевого дня.

Срочно обновите Zimbra! Google обнаружила активно эксплуатируемую уязвимость в популярном почтовом клиенте

Злоумышленники могут читать и менять вашу почту.

Запись за пределами границ - самая опасная уязвимость в ПО по версии США

Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям.

3 миллиона атак за 2 дня: очередной плагин WordPress активно эксплуатируется хакерами

Срочно обновите уязвимый плагин, пока злоумышленники не развернули полезную нагрузку.

Хакеру требуется 24 часа для эксплуатации исправленной уязвимости WordPress

После публикации PoC-эксплойта наблюдалось большое число попыток захвата уязвимых сайтов.

Уязвимость в популярном плагине WordPress подвергает кибератакам более 2 млн. сайтов

Ошибка позволяет злоумышленнику за один клик получить полный контроль над сайтом.

Google TAG предупреждает о массированных фишинговых атаках на территории Восточной Европы

И вновь зарубежные исследователи считают российских хакеров причастными к данным киберинцидентам.

Три в ряд: очередная уязвимость в Microsoft Azure позволяет хакерам получить контроль над системой жертвы

Компании из Редмонда пора бы всерьёз задуматься о безопасности…

Критические уязвимости в ПО Wago позволили хакерам получить полный контроль над микроконтроллерами компании

CERT раскрыла все найденные уязвимости и дала каждой подробную характеристику.

Обновление Splunk Enterprise исправляет критические недостатки платформы

Патч безопасности затрагивает свыше десяти различных уязвимостей.

Популярные за рубежом офисные пакеты уже несколько месяцев уязвимы для атак хакеров

Пользователи сразу четырёх систем для работы с документами в опасности.

Злоумышленники могли по кирпичикам разобрать онлайн-сообщество фанатов LEGO

Уязвимости в API на сайте BrickLink позволяют киберпреступникам похищать аккаунты и взламывать серверы.

Бей своих, чтобы чужие боялись: CloudSEK утверждает, что ее системы были взломаны другой ИБ-компанией

Сейчас данные CloudSEK продаются на одном из теневых форумов за $10 000.

10 крутых фишек нейросети ChatGPT для разработчиков и ИБ-специалистов

Останутся ли востребованы живые программисты после создания ChatGPT?

Уязвимость загрязнения прототипа ставит под угрозу тысячи веб-приложений на Ember.js

Используя уязвимость, киберпреступники могут с легкостью провести XSS-атаку.

Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон

Настройка глубоких ссылок позволяет выполнить XSS-атаку и доставить дроппер на устройство.

Критическая RCE-уязвимость обнаружена в Cobalt Strike

Злоумышленник может незаметно внедриться в компьютер жертвы с помощью HTML-тегов.

Никакой чести среди воров: злоумышленники внедряют вредоносный JS-код на сайты криптомошенников

А для жертв исход один – потеря своей криптовалюты.

Удар в спину: администраторы кардерского форума наживались на киберпреступниках

Жертвами недобросовестных администраторов стали пользователи форума XSS.

3 XSS-уязвимости могут привести к полному отключению системы

Приложения для веб-разработки содержат ошибки, которые позволяют выполнить любую команду на сервере.

Тысячи аккаунтов GitLab под угрозой: новая критическая уязвимость позволяет похищать аккаунты жертв

Компания устранила эту и еще семь менее значительных уязвимостей.

Исследователь опубликовал новый метод обхода CSP с помощью WordPress

Изящная атака сводит на нет создание безопасного CSP, если сайт использует WordPress.

Уязвимость в Screencastify позволяла сайтам шпионить за пользователями через камеры

Хотя уязвимость была исправлена еще 15 февраля 2022 года, расширение Screencastify все еще представляет угрозу.

У Darkside и REvil появился наследник

Кибервымогательская группировка BlackMatter готова заплатить до $100 тыс. за первоначальный доступ к корпоративным сетям.

Вымогателей изгнали с хакерского форума Exploit

Ранее о запрете тем, связанных с вымогательским ПО, объявила администрация площадки XSS.

Один из самых популярных хакерских форумов запретил все темы касательно вымогательского ПО

После атаки на Colonial Pipeline ожесточилась борьба с вымогательским ПО, и форум XSS решил «откреститься» от этой темы.

Полиция Нидерландов хакерам: «Все допускают ошибки. Мы ждем ваших»

Полиция Нидерландов опубликовала на киберпреступных форумах «дружеские» предупреждения для хакеров.

Олимпиаду первого уровня можно взломать всего за секунду

Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.

Опубликован эксплоит для обхода Cloudflare WAF

О проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной.

Мошенники используют XSS-уязвимость для обмана пользователей Facebook

Преступники используют Facebook для распространения вредоносных ссылок, перенаправляющих пользователей на мошеннические сайты.

Уязвимости в PAN-OS могли угрожать безопасности внутренних сетей

Компания Palo Alto Networks устранила уязвимости в PAN-OS, операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.

Google избавится от встроенной в Chrome функции безопасности XSS Auditor

XSS Auditor стала неэффективной для защиты от XSS-атак.

Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io

Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.

Расширяемые рекламные баннеры могут использоваться для атак на сайты

Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.

В Microsoft Edge «сломалась» одна из функций безопасности

Речь идет о защите от XSS-атак.

Хакеры атакуют сайты на Magento через виджет Mirasvit Helpdesk

Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код.

Плагин uBlock Origin блокирует уведомления о кибератаках

При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.

Обнаружен способ обхода проактивного фильтра Bitrix WAF

Метод заключается в эксплуатации ошибки в регулярном выражении.

В Magento исправлены две опасные XSS-уязвимости

Ошибки позволяли выполнить код JavaScript в административной панели.

На сайте рекламной компании PublicityClerks исправлена XSS-уязвимость

Ошибка позволяла злоумышленникам создавать рекламные объявления, похищающие персональные данные.

Сайт розничной сети Asda подвержен множественным уязвимостям

Ошибки существуют в течение двух лет и до сих пор не исправлены.

Обработка эмодзи «ВКонтакте» позволяла осуществить XSS-атаку

При обработке смайлов социальная сеть позволяла выполнение скриптового кода.

В PayPal обнаружена XSS-уязвимость

Эксперты представили концепт атаки на платежный сервис.

XSSPosed объявила об открытии принципиально новой программы выплаты вознаграждений

Некоммерческий архив XSS-уязвимостей позволит всем желающим делать поощрительные выплаты.

Tesla Motors будет выплачивать вознаграждения за найденные бреши на своем сайте

Размер вознаграждений варьируется от $25 до $1 тыс.

На сайте supermarket.rambler.ru обнаружена XSS-уязвимость

В настоящее время брешь остается неисправленной.

На сайте Кремниевой долины обнаружена XSS-уязвимость

Брешь до сих пор остается неисправленной, ставя под угрозу пользователей и администраторов ресурса.

В WordPress исправлена опасная уязвимость

Брешь позволяла внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.

На сайте liveinternet.ru обнаружена XSS-уязвимость

В настоящее время уязвимость является неисправленной.

В web-интерфейсе pfSense обнаружены множественные уязвимости

Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.

Сайт amazon.com уязвим к XSS-атакам

По состоянию на 23 марта 2015 года уязвимость оставалась неисправленной.

Форум PCI Security Standards Council подвержен XSS-атакам

На форуме, посвященном системам безопасных платежей, обнаружили уязвимость, позволяющую осуществить XSS-атаку.

В системе Merchant Webmoney Transfer обнаружена XSS уязвимость

Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.

На сайте Стэнфордского университета обнаружена XSS-уязвимость

В настоящее время брешь еще не исправлена.

Обнаружена XSS уязвимость в Microsoft Internet Explorer

Удаленный пользователь может выполнить произвольный JavaScript сценарий в контексте безопасности любого сайта.

На сайте Парламентской ассамблеи Совета Европы обнаружена XSS-уязвимость

Данная брешь является уже второй XSS-уязвимостью на сайте ПАСЕ - первая была выявлена в августе 2007 года.

На сайте Европейского банка реконструкции и развития обнаружена XSS-уязвимость

По состоянию на 12:00 МСК 20 января брешь оставалась неисправленной, подвергая опасности как администраторов, так и посетителей ebrd.com.

На сайтах Moody’s и ЛАНИТ обнаружены XSS-уязвимости

По состоянию на 24 декабря нынешнего года бреши оставались неисправленными.

В Revive Adserver устранили две уязвимости

Бреши позволяют удаленному атакующему спровоцировать зависание рекламной службы и осуществить XSS-атаку.

На сайте «Сбербанка России» обнаружена XSS-уязвимость

Брешь присутствует на странице поиска по сайту финучреждения.

На сайте банка Citibank обнаружена XSS-уязвимость

По состоянию на 15 декабря нынешнего года брешь на citibank.com все еще не была исправлена.

В WordPress исправили критическую XSS-уязвимость

Брешь приводила к ошибкам в процессе проверки безопасности HTML-тегов в поле комментариев, что позволяло совершить XSS-атаку.

High-Tech Bridge: XSS – самый легкий способ взлома web-сайтов в 2014 году

XSS-уязвимости часто игнорируются разработчиками и сотрудниками служб безопасности, что приводит к катастрофическим последствиям.

Эксперты: В большом количестве сайтов известных компаний присутствуют XSS-уязвимости

Среди прочего, бреши были обнаружены на сайтах «Лаборатории Касперского», «Ростелекома» и «Альфа-Банка».

В «АНБ-непроницаемом» сервисе электронной почты обнаружена XSS-уязвимость

Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.

В Сети появился новый архив ХSS-уязвимостей

По словам создателей проекта XSSposed, архив станет некой альтернативой и продолжением ранее существовавшего ресурса xssed.org.

Эксперт рассказал об обнаружении уязвимости нулевого дня в Cisco ASA

Брешь на странице авторизации на портале WebVPN позволяла неавторизованному удаленному пользователю осуществить XSS-атаку.

Эксперты: Причиной масштабной утечки данных пользователей eBay стали множественные уязвимости

ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.

Всемирный экономический форум допустил утечку 100 тыс. электронных адресов

Администрация официального web-сайта организации проигнорировала информацию об обнаруженных сторонними исследователями брешах.

Хакеры из Inj3ct0r обнаружили XSS-уязвимость на web-сайте Пентагона

Участники группировки обещают воспользоваться брешью в последующей атаке.

В маршрутизаторах D-Link выявлен ряд новых уязвимостей

По данным раскрывшего бреши исследователя, уязвимой является только модель D-Link 2760N.

Facebook устранила ряд XSS-уязвимостей

Бреши были обнаружены в нескольких онлайн-сервисах экспертами компании Break Security.

XSS уязвимость на сайте Avira позволяла скомпрометировать учетные данные пользователей

Исследователь решил продемонстрировать эксплуатацию бреши разработчикам антивирусного ПО.

Количество XSS-атак растет угрожающими темпами

По данным хостинговой компании Firehost, за последних три месяца число таких нападений выросло на 160%.

Исследователи безопасности признали обновление электронной почты Yahoo неэффективным

На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.

Mozilla устранила уязвимости в Firefox

В браузере устранены 2 уязвимости XSS атаки и одна уязвимость раскрытия важных данных.

Уязвимость в Opera позволяет осуществить XSS атаку на любой сайт

Для эксплуатации уязвимости злоумышленнику достаточно разместить специально сформированную ссылку на целевом ресурсе.

В web-сервере Apache устранены две уязвимости

Устраненные уязвимости позволяли раскрыть важные данные о пользователях и осуществить XSS атаку.

Создание скриншотов окна браузера с помощью HTML5 и XSS

Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.

Сайты крупнейших банков опасны для пользователей

Исследователи обнаружили уязвимости на сайтах ВТБ24, Хоум кредит, Эксим, Райффайзен, Сбербанк и других банков.

Румынский исследователь обнаружил XSS уязвимость в ЖЖ

Исследователь безопасности разместил в YouTube ролик, содержащий описание эксплуатации уязвимости в LiveJournal.

Пользователи IE под угрозой XSS-атак

Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI.

В свободном доступе появился код для хищения личных данных клиентов банков

Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XSS уязвимость.

XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу

Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone.

Хакер обнаружил XSS-уязвимости на 20 популярных web-сайтах

Хакер под псевдонимом Invectus опубликовал ссылки на 20 скомпрометированных web-страниц.

В ICQ устранена XSS-уязвимость

Компания Mail.ru устранила уязвимость, которая позволяла захватывать учетные записи пользователей службы ICQ.

Новый сервис от компании Veracode будет проверять сайты на наличие уязвимостей

Компания Veracode объявила о запуске нового сервиса, который поможет корпоративным клиентам находить и исправлять уязвимости на сайтах.

Google выпустила расширение для анализа уязвимостей на Web-сайтах

Используя DOM Snitch, web-разработчики, тестеры и простые пользователи могут наблюдать за изменениями DOM в реальном времени без необходимости анализировать JavaScript при помощи отладчика или аналогичного инструмента.

На сайте icq.com найдены XSS уязвимости

Одна из уже закрытых уязвимостей имела место в профиле пользователей, в поле “О себе” вашего номера. Вторая уязвимость присутствовала в сервисе блогов, причем недостаточно фильтровалось именно тело сообщения.

Сайт Apple рекламировал Windows 7

Неизвестные исследователи обнаружили уязвимость на сайте Apple и использовали ее для рекламы Windows 7.

XSS-уязвимость в RubyOnRails затронула Twitter

На прошлой неделе стало известно об XSS-уязвимости в популярном движке веб-разработки Ruby On Rails. Уязвимость добралась до многих популярных сервисов, в том числе и до Twitter.

Twitter не устранил XSS-уязвимость

Данная уязвимость позволяет злоумышленникам вставлять вредоносные JavaScript в сообщения, путем добавления кода в поля API сторонних разработчиков приложений.

Сотрудники New York Times по ошибке заразили свой сайт

Вместо того чтобы перенести образец вредоносного кода в виде текста, сотрудники New York Times интегрировали его в интернет-страницу. Статья оказалась пораженной той же уязвимостью, о которой повествовала.

В PayPal найдена опасная XSS-уязвимость

Обнаруженная XSS-уязвимость позволяет злоумышленнику перехватывать входные реквизиты пользователей или получать их файлы-cookie, открывающие доступ в администраторский интерфейс системы.

Netcraft обнаружила серьезную уязвимость на сайте Yahoo

Эксплуатация уязвимости ведет к перехвату идентификационных файлов cookie, которые сервер отдает легальным пользователям. В Netcraft сообщают, что перехват возможен из-за наличия XSS-уязвимости на сайте Yahoo HotJobs (hotjobs.yahoo.com).

IE8 станет еще безопаснее

Одним из наиболее значимых нововведений в IE8 в плане повышения уровня защиты станут интегрированные средства предупреждения XSS-атак.

ВКонтакте.ру обнаружена XSS-уязвимость

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.

Symantec: Отчет о безопасности в Сети

Данные, представленные в документе Internet Security Threat Report за второе полугодие 2007 года, неутешительны. Число атак на пользователей интернета продолжает расти, а киберпреступники используют все новые способы обмана доверчивых жертв.

White Hat Security: 90% популярных сайтов имеют уязвимости

White Hat Security сообщает, что 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.

Межсайтовый скриптинг в Livejournal.com

Livejournal.com уязвим к XSS атакам, которые могут позволить злоумышленнику получить доступ к учетным данным целевого пользователя.

500.000 flash файлов на популярных сайтах уязвимы к XSS

Авторы утверждают, что патчи безопасности для flash-клиента не могут обеспечить решение данной проблемы: вредоносный код генерируется уже при создании файлов во многих популярных пакетах, в том числе DreamWeaver, Breeze и Camtasia.

Paypal 2 года не мог закрыть XSS уязвимость на Web сайте

Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года,   но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.