На web-сайте The Huffington Post обнаружена XSS-уязвимость

image

Теги: XSS-уязвимость, новостной ресурс, компрометация

На данный момент брешь все еще остается неисправленной.

Вчера, 1 марта, исследователь безопасности под псевдонимом yarbabin  сообщил  о XSS-уязвимости на web-сайте новостного издания The Huffington Post. По данным портала xssposed.org, за все время существования ресурса специалистами в общей сложности было обнаружено 8 XSS-брешей.

Уязвимый URL выглядит следующим образом:

http://www.huffingtonpost.com/_slideshows/ipad_slideshow.php?id=213042 &entry=lol"><script>alert(/XSSPOSED/)</script>

На момент написания новости уязвимость все еще оставалась неисправленной, подвергая пользователей, посетителей и администраторов ресурса huffingtonpost.com риску компрометации злоумышленниками.

Кража cookie-файлов, персональной информации, учетных данных и истории браузера являются, пожалуй, наименее опасными последствиями XSS-атак. В настоящее время подобные атаки становятся более сложными и зачастую используются вместе с практиками целевого фишинга, социального инжиниринга и атаками drive-by.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.