XSS
Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.
Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.
Полиция Нидерландов хакерам: «Все допускают ошибки. Мы ждем ваших»
Полиция Нидерландов опубликовала на киберпреступных форумах «дружеские» предупреждения для хакеров.
Олимпиаду первого уровня можно взломать всего за секунду
Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.
Опубликован эксплоит для обхода Cloudflare WAF
О проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной.
Мошенники используют XSS-уязвимость для обмана пользователей Facebook
Преступники используют Facebook для распространения вредоносных ссылок, перенаправляющих пользователей на мошеннические сайты.
Уязвимости в PAN-OS могли угрожать безопасности внутренних сетей
Компания Palo Alto Networks устранила уязвимости в PAN-OS, операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.
Google избавится от встроенной в Chrome функции безопасности XSS Auditor
XSS Auditor стала неэффективной для защиты от XSS-атак.
Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io
Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.
Расширяемые рекламные баннеры могут использоваться для атак на сайты
Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.
В Microsoft Edge «сломалась» одна из функций безопасности
Речь идет о защите от XSS-атак.
Хакеры атакуют сайты на Magento через виджет Mirasvit Helpdesk
Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код.
Плагин uBlock Origin блокирует уведомления о кибератаках
При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.
Обнаружен способ обхода проактивного фильтра Bitrix WAF
Метод заключается в эксплуатации ошибки в регулярном выражении.
В Magento исправлены две опасные XSS-уязвимости
Ошибки позволяли выполнить код JavaScript в административной панели.
На сайте рекламной компании PublicityClerks исправлена XSS-уязвимость
Ошибка позволяла злоумышленникам создавать рекламные объявления, похищающие персональные данные.
Сайт розничной сети Asda подвержен множественным уязвимостям
Ошибки существуют в течение двух лет и до сих пор не исправлены.
Обработка эмодзи «ВКонтакте» позволяла осуществить XSS-атаку
При обработке смайлов социальная сеть позволяла выполнение скриптового кода.
В PayPal обнаружена XSS-уязвимость
Эксперты представили концепт атаки на платежный сервис.
XSSPosed объявила об открытии принципиально новой программы выплаты вознаграждений
Некоммерческий архив XSS-уязвимостей позволит всем желающим делать поощрительные выплаты.
Tesla Motors будет выплачивать вознаграждения за найденные бреши на своем сайте
Размер вознаграждений варьируется от $25 до $1 тыс.
На сайте supermarket.rambler.ru обнаружена XSS-уязвимость
В настоящее время брешь остается неисправленной.
На сайте Кремниевой долины обнаружена XSS-уязвимость
Брешь до сих пор остается неисправленной, ставя под угрозу пользователей и администраторов ресурса.
В WordPress исправлена опасная уязвимость
Брешь позволяла внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.
На сайте liveinternet.ru обнаружена XSS-уязвимость
В настоящее время уязвимость является неисправленной.
В web-интерфейсе pfSense обнаружены множественные уязвимости
Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.
Сайт amazon.com уязвим к XSS-атакам
По состоянию на 23 марта 2015 года уязвимость оставалась неисправленной.
Форум PCI Security Standards Council подвержен XSS-атакам
На форуме, посвященном системам безопасных платежей, обнаружили уязвимость, позволяющую осуществить XSS-атаку.
В системе Merchant Webmoney Transfer обнаружена XSS уязвимость
Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.
На сайте Стэнфордского университета обнаружена XSS-уязвимость
В настоящее время брешь еще не исправлена.
Обнаружена XSS уязвимость в Microsoft Internet Explorer
Удаленный пользователь может выполнить произвольный JavaScript сценарий в контексте безопасности любого сайта.
На сайте Парламентской ассамблеи Совета Европы обнаружена XSS-уязвимость
Данная брешь является уже второй XSS-уязвимостью на сайте ПАСЕ - первая была выявлена в августе 2007 года.
На сайте Европейского банка реконструкции и развития обнаружена XSS-уязвимость
По состоянию на 12:00 МСК 20 января брешь оставалась неисправленной, подвергая опасности как администраторов, так и посетителей ebrd.com.
На сайтах Moody’s и ЛАНИТ обнаружены XSS-уязвимости
По состоянию на 24 декабря нынешнего года бреши оставались неисправленными.
В Revive Adserver устранили две уязвимости
Бреши позволяют удаленному атакующему спровоцировать зависание рекламной службы и осуществить XSS-атаку.
На сайте «Сбербанка России» обнаружена XSS-уязвимость
Брешь присутствует на странице поиска по сайту финучреждения.
На сайте банка Citibank обнаружена XSS-уязвимость
По состоянию на 15 декабря нынешнего года брешь на citibank.com все еще не была исправлена.
В WordPress исправили критическую XSS-уязвимость
Брешь приводила к ошибкам в процессе проверки безопасности HTML-тегов в поле комментариев, что позволяло совершить XSS-атаку.
High-Tech Bridge: XSS – самый легкий способ взлома web-сайтов в 2014 году
XSS-уязвимости часто игнорируются разработчиками и сотрудниками служб безопасности, что приводит к катастрофическим последствиям.
Эксперты: В большом количестве сайтов известных компаний присутствуют XSS-уязвимости
Среди прочего, бреши были обнаружены на сайтах «Лаборатории Касперского», «Ростелекома» и «Альфа-Банка».
В «АНБ-непроницаемом» сервисе электронной почты обнаружена XSS-уязвимость
Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.
В Сети появился новый архив ХSS-уязвимостей
По словам создателей проекта XSSposed, архив станет некой альтернативой и продолжением ранее существовавшего ресурса xssed.org.
Эксперт рассказал об обнаружении уязвимости нулевого дня в Cisco ASA
Брешь на странице авторизации на портале WebVPN позволяла неавторизованному удаленному пользователю осуществить XSS-атаку.
Эксперты: Причиной масштабной утечки данных пользователей eBay стали множественные уязвимости
ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.
Всемирный экономический форум допустил утечку 100 тыс. электронных адресов
Администрация официального web-сайта организации проигнорировала информацию об обнаруженных сторонними исследователями брешах.
Хакеры из Inj3ct0r обнаружили XSS-уязвимость на web-сайте Пентагона
Участники группировки обещают воспользоваться брешью в последующей атаке.
В маршрутизаторах D-Link выявлен ряд новых уязвимостей
По данным раскрывшего бреши исследователя, уязвимой является только модель D-Link 2760N.
Facebook устранила ряд XSS-уязвимостей
Бреши были обнаружены в нескольких онлайн-сервисах экспертами компании Break Security.
XSS уязвимость на сайте Avira позволяла скомпрометировать учетные данные пользователей
Исследователь решил продемонстрировать эксплуатацию бреши разработчикам антивирусного ПО.
Количество XSS-атак растет угрожающими темпами
По данным хостинговой компании Firehost, за последних три месяца число таких нападений выросло на 160%.
Исследователи безопасности признали обновление электронной почты Yahoo неэффективным
На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.
Mozilla устранила уязвимости в Firefox
В браузере устранены 2 уязвимости XSS атаки и одна уязвимость раскрытия важных данных.
Уязвимость в Opera позволяет осуществить XSS атаку на любой сайт
Для эксплуатации уязвимости злоумышленнику достаточно разместить специально сформированную ссылку на целевом ресурсе.
В web-сервере Apache устранены две уязвимости
Устраненные уязвимости позволяли раскрыть важные данные о пользователях и осуществить XSS атаку.
Создание скриншотов окна браузера с помощью HTML5 и XSS
Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.
Сайты крупнейших банков опасны для пользователей
Исследователи обнаружили уязвимости на сайтах ВТБ24, Хоум кредит, Эксим, Райффайзен, Сбербанк и других банков.
XSS
Румынский исследователь обнаружил XSS уязвимость в ЖЖ
Исследователь безопасности разместил в YouTube ролик, содержащий описание эксплуатации уязвимости в LiveJournal.
Пользователи IE под угрозой XSS-атак
Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI.
В свободном доступе появился код для хищения личных данных клиентов банков
Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XSS уязвимость.
XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу
Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone.
Хакер обнаружил XSS-уязвимости на 20 популярных web-сайтах
Хакер под псевдонимом Invectus опубликовал ссылки на 20 скомпрометированных web-страниц.
В ICQ устранена XSS-уязвимость
Компания Mail.ru устранила уязвимость, которая позволяла захватывать учетные записи пользователей службы ICQ.
Новый сервис от компании Veracode будет проверять сайты на наличие уязвимостей
Компания Veracode объявила о запуске нового сервиса, который поможет корпоративным клиентам находить и исправлять уязвимости на сайтах.
Google выпустила расширение для анализа уязвимостей на Web-сайтах
Используя DOM Snitch, web-разработчики, тестеры и простые пользователи могут наблюдать за изменениями DOM в реальном времени без необходимости анализировать JavaScript при помощи отладчика или аналогичного инструмента.
На сайте icq.com найдены XSS уязвимости
Одна из уже закрытых уязвимостей имела место в профиле пользователей, в поле “О себе” вашего номера. Вторая уязвимость присутствовала в сервисе блогов, причем недостаточно фильтровалось именно тело сообщения.
Сайт Apple рекламировал Windows 7
Неизвестные исследователи обнаружили уязвимость на сайте Apple и использовали ее для рекламы Windows 7.
XSS-уязвимость в RubyOnRails затронула Twitter
На прошлой неделе стало известно об XSS-уязвимости в популярном движке веб-разработки Ruby On Rails. Уязвимость добралась до многих популярных сервисов, в том числе и до Twitter.
Twitter не устранил XSS-уязвимость
Данная уязвимость позволяет злоумышленникам вставлять вредоносные JavaScript в сообщения, путем добавления кода в поля API сторонних разработчиков приложений.
Сотрудники New York Times по ошибке заразили свой сайт
Вместо того чтобы перенести образец вредоносного кода в виде текста, сотрудники New York Times интегрировали его в интернет-страницу. Статья оказалась пораженной той же уязвимостью, о которой повествовала.
В PayPal найдена опасная XSS-уязвимость
Обнаруженная XSS-уязвимость позволяет злоумышленнику перехватывать входные реквизиты пользователей или получать их файлы-cookie, открывающие доступ в администраторский интерфейс системы.
Netcraft обнаружила серьезную уязвимость на сайте Yahoo
Эксплуатация уязвимости ведет к перехвату идентификационных файлов cookie, которые сервер отдает легальным пользователям. В Netcraft сообщают, что перехват возможен из-за наличия XSS-уязвимости на сайте Yahoo HotJobs (hotjobs.yahoo.com).
IE8 станет еще безопаснее
Одним из наиболее значимых нововведений в IE8 в плане повышения уровня защиты станут интегрированные средства предупреждения XSS-атак.
ВКонтакте.ру обнаружена XSS-уязвимость
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.
Symantec: Отчет о безопасности в Сети
Данные, представленные в документе Internet Security Threat Report за второе полугодие 2007 года, неутешительны. Число атак на пользователей интернета продолжает расти, а киберпреступники используют все новые способы обмана доверчивых жертв.
White Hat Security: 90% популярных сайтов имеют уязвимости
White Hat Security сообщает, что 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.
Межсайтовый скриптинг в Livejournal.com
Livejournal.com уязвим к XSS атакам, которые могут позволить злоумышленнику получить доступ к учетным данным целевого пользователя.
500.000 flash файлов на популярных сайтах уязвимы к XSS
Авторы утверждают, что патчи безопасности для flash-клиента не могут обеспечить решение данной проблемы: вредоносный код генерируется уже при создании файлов во многих популярных пакетах, в том числе DreamWeaver, Breeze и Camtasia.
Paypal 2 года не мог закрыть XSS уязвимость на Web сайте
Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года, но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.