На мобильной версии web-сайта «Аэрофлота» обнаружена XSS-уязвимость
Брешь может быть проэксплуатирована злоумышленниками против пользователей, посетителей и администраторов ресурса.
Исследователь безопасности под псевдонимом SecBit сообщил об XSS-уязвимости на ресурсе m.aeroflot.ru - мобильной версии web-сайта крупнейшего российского авиаперевозчика «Аэрофлот».
Как отмечает SecBit, из-за небрежного отношения и отсутствия адекватных средств защиты безопасности администрация ресурса m.aeroflot.ru систематически подвергает опасности своих пользователей. m.aeroflot.ru и его поддомены содержат, по крайней мере, одну из уже известных XSS-уязвимостей.
По словам специалиста, одна XSS- уязвимость до сих пор остается неисправленной, и может быть проэксплуатирована злоумышленниками против пользователей, посетителей и администраторов web-сайта.
Похищение файлов cookie, персональных и учетных данных, а также истории браузера – являются, возможно, наименее опасными последствиями XSS-атак. На сегодняшний день данные атаки становятся все более сложными и зачастую используются в паре с фишинговыми атаками, социальной инженерией и атаками drive-by download.