В нескольких доменах Amazon обнаружены XSS-уязвимости
На порталах Amazon не была исправлена ни одна обнаруженная в 2015 году XSS-брешь.
Вчера, 9 апреля, исследователи безопасности под псевдонимами MLT и PsychoMantis сообщили об XSS-уязвимостях в нескольких доменах филиалов интернет-ритейлера Amazon - amazon.ca (Канада), amazon.com.mx (Мексика), amazon.com.br (Бразилия) и amazon.de (Германия). На момент написания новости бреши все еще не были исправлены.
В текущем году исследователи безопасности обнаружили в общей сложности 18 XSS-уязвимостей на вышеуказанных web-сайтах: amazon.ca и amazon.de – 10 (по пять на каждом), amazon.com.mx и amazon.com.br – 8 (по четыре на одном и на другом). В настоящее время ни одна из них не исправлена, что подвергает системы пользователей, посетителей и администраторов риску компрометации злоумышленниками.
Похищение cookies-фалов, персональной информации, учетных данных и истории браузера является наименее опасным последствием XSS-атак. Подобные атаки становятся все более сложными и зачастую используются вместе с точечным фишингом, техниками социальной инженерией и атаками drive-by.