На официальном сайте международного банка Citibank обнаружена уязвимость, позволяющая осуществить межсайтовый скриптинг. ИБ-эксперт, известный как E1337, нашел брешь в конце прошлой недели и сообщил о ней на XSSposed.org, куда исследователи вносят обнаруженные ими XSS-уязвимости.
Как говорится на сайте, по состоянию на 15 декабря нынешнего года брешь на citibank.com все еще не была исправлена. В связи с этим данные как посетителей, так и администраторов ресурса могут быть скомпрометированы злоумышленниками. Похищение файлов cookie, персональной информации, учетных данных и истории просмотров в браузере является, наверное, наименее опасным последствием XSS-атак».
Эксперт также отметил, что в последнее время атаки межсайтового скриптинга становятся все более сложными и осуществляются с использованием фишинговых техник, социальной инженерии и атак drive-by.
Отметим, что проверить наличие исправлений бреши можно на сайте XSSposed.org (информация обновляется раз в 24 часа).
