Security Lab

XSS

XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.

Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.

Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.

Один клик — и паспортные данные в публичной ленте. Что нашли в архивах онлайн-форматтеров JSON

Обычная вкладка браузера стала лучшим хранилищем секретов для всех желающих.

Один закрыли — пять открылись. Уничтожение XSS породило целую экосистему конкурирующих хакерских форумов

Пять форумов, нулевое доверие и постоянный вопрос — кто из модераторов работает на ФБР.

275 млн пользователей, почти 9000 учебных заведений. Конгресс США потребовал от Instructure объяснений за двойную атаку на Canvas

Хакеры заставили американские колледжи отменить выпускные экзамены.

Германия, США и Россия в зоне риска. В опенсорсной платформе XWiki нашли уязвимости, позволяющие украсть данные сотрудников

Одна ссылка — и хакер уже администратор.

Киберпреступление и наказание. «гений киберпреступности» из Украины слил себя за свои же деньги

Рассказываем историю самого нелепого саморазоблачения года.

Отечественный софт с сюрпризом. В популярной бухгалтерии «КУБ24» нашли критические дыры — вот что нужно знать

Вредоносный скрипт может лишить доступа к аккаунтам в КУБ24.

Сначала проповедь, потом кража данных. Apple игнорирует опасную дыру в защите Podcasts

Через Apple Podcasts можно подсовывать пользователям загадочные подкасты с потенциально вредоносными ссылками.

Нулевой день в Zimbra эксплуатировался с января. Военных взломали через календарь — вендор молчал об атаках

Уязвимость в Zimbra показала, что даже ваш цифровой ежедневник может быть шпионом.

Думали, WAF вас защищает? Исследователи обошли 17 файрволов с помощью одного трюка с запятой

Как простая запятая сломала миллиардную индустрию безопасности.

Разборка в даркнете: XSS тонет в скамах, рынки перетекают

DamageLib набрала 33,5 тысячи регистраций — две трети базы XSS.

Порносайты стали опаснее вирусов — они превращают каждую картинку в скрытую атаку на ваш компьютер

Как векторная графика превратилась в марионетку киберпреступников.

Adobe назвала 254 причины, чтобы срочно обновить свой софт

Magento выглядела вполне нормально, пока в ней не нашли способ запускать произвольный код.

Браузер в приложении, вирус в системе — CefSharp превращает UI в пульт удалённого управления

Опасные связи JavaScript и .NET — как одна строка кода открывает доступ хакерам.

Один JavaScript и ноль кликов — этого хватило, чтобы вскрыть Минобороны

Когда просто «прочитать» письмо значит отдать пароли, контакты и государственные тайны.

Олег Зайцев: креативная XSS-атака обошла защиту Fortune 500 компаний

Сотни доверенных сайтов стали невольными участниками масштабной рекламной кампании.

Мечта хакеров: как CVE-2024-52875 стала идеальным инструментом для кибератак

Всего одна брешь в системе – и тысячи сетей становятся лёгкой добычей.

Типы XSS-атак и способы защиты от них

Подробный разбор отражённых, хранимых и DOM-уязвимостей.