Расширяемые рекламные баннеры могут использоваться для атак на сайты

Расширяемые рекламные баннеры могут использоваться для атак на сайты

Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.

Реклама, способная расширяться в более крупное окно для отображения на web-странице баннера или видеоролика, может использоваться злоумышленниками как точка входа для осуществления кибератак.

Исследователь безопасности Рэнди Уестергрен (Randy Westergren) обнаружил уязвимости в так называемых бустерах плавающих фреймов (iframe busters) – файлах, используемых на web-сайтах для поддержки «расширяемой рекламы». Маркетинговые компании предлагают эти файлы владельцам сайтов, желающим отображать рекламу из портфолио их рекламных сетей.

Каждая маркетинговая компания использует свои уникальные скрипты, но работают они одинаково – с помощью кода JavaScript, обходящего реализованное в браузере правило ограничения домена. Благодаря коду реклама может выходить за рамки своего фиксированного контейнера, увеличиваться в размерах и вносить изменения в страницу.

Уестергрен обнаружил в большинстве скриптов XSS-уязвимости, позволяющие злоумышленникам запускать на сайтах вредоносные коды JavaScript. Ущерб от подобных атак зависит от способности атакующего создать вредоносный код. Наиболее вероятный сценарий предполагает запуск кода JavaScript на удаленном сайте для похищения данных пользователей.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.