Брешь позволяет злоумышленникам изменять контент страницы и проводить сложные атаки, такие как похищение учетных данных пользователя и публикация фальшивых рецензий.
Исследователь безопасности, выступающий под псевдонимом Nasrul07, обнаружил критическую XSS-уязвимость на туристическом web-сайте TripAdvisor. Брешь позволяет злоумышленникам изменять контент страницы и проводить сложные атаки, такие как похищение учетных данных пользователя и публикация фальшивых рецензий.
«Уязвимость до сих пор не исправлена, что подвергает пользователей, посетителей и администраторов TripAdvisor.com риску компрометации злоумышленниками. Похищение файлов cookie, персональной информации, учетных данных, а также истории браузера, возможно, являются наименее опасными последствиями XSS-атак», - говорится в сообщении Nasrul07.
Специалист добавляет, что в настоящее время XSS-атаки становятся более сложными и совершаются в паре с целевым фишингом, социальной инженерией и drive-by атаками. В общей сложности на портале TripAdvisor было обнаружено 4 XSS-уязвимости, причем ни одна из них так и не была исправлена.
8 декабря текущего года исследователь безопасности под именем E1337 сообщил о XSS-уязвимости на портале Uber. Брешь была исправлена через сутки после ее обнаружения.