На web-сайтах Альфа-банка обнаружены XSS-уязвимости

image

Теги: уязвимость, web-сайт, компрометация

На обоих ресурсах бреши до сих пор остаются неисправленными.

Сегодня, 2 марта, исследователь безопасности под псевдонимом yarbabin сообщил об XSS-уязвимостях,  обнаруженных  на принадлежащих Альфа-банку web-сайтах market.alfabank.ru и job.alfabank.ru. За все время  существования  ресурса job.alfabank.ru специалистами были выявлены 2 XSS-уязвимости, пока ни одна из них не исправлена.

Уязвимый URL market.alfabank.ru:

http://www.market.alfabank.ru/search/?q=lol"><script>alert('XSSPOSED') </script>

Уязвимый URL job.alfabank.ru:

http://job.alfabank.ru/moskva/vacancies/search-result/?filter[%NAME]=l ol"><script>alert('XSSPOSED')</script>

На момент написания новости бреши еще не были исправлены, тем самым подвергая пользователей, посетителей и администраторов вышеуказанных ресурсов риску компрометации злоумышленниками. Похищение cookie-файлов, персональных сведений, учетных данных и истории браузера являются, пожалуй, наименее опасными последствиями XSS-атак. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.