XSS

XSS Auditor стала неэффективной для защиты от XSS-атак.

Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.

Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.

Речь идет о защите от XSS-атак.

Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код.

При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.

Метод заключается в эксплуатации ошибки в регулярном выражении.

Ошибки позволяли выполнить код JavaScript в административной панели.

Ошибка позволяла злоумышленникам создавать рекламные объявления, похищающие персональные данные.

Ошибки существуют в течение двух лет и до сих пор не исправлены.

При обработке смайлов социальная сеть позволяла выполнение скриптового кода.

Эксперты представили концепт атаки на платежный сервис.

Некоммерческий архив XSS-уязвимостей позволит всем желающим делать поощрительные выплаты.

Размер вознаграждений варьируется от $25 до $1 тыс.

В настоящее время брешь остается неисправленной.

Брешь до сих пор остается неисправленной, ставя под угрозу пользователей и администраторов ресурса.

Брешь позволяла внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.

В настоящее время уязвимость является неисправленной.

Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.

По состоянию на 23 марта 2015 года уязвимость оставалась неисправленной.

На форуме, посвященном системам безопасных платежей, обнаружили уязвимость, позволяющую осуществить XSS-атаку.

Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.

В настоящее время брешь еще не исправлена.

Удаленный пользователь может выполнить произвольный JavaScript сценарий в контексте безопасности любого сайта.

Данная брешь является уже второй XSS-уязвимостью на сайте ПАСЕ - первая была выявлена в августе 2007 года.

По состоянию на 12:00 МСК 20 января брешь оставалась неисправленной, подвергая опасности как администраторов, так и посетителей ebrd.com.

По состоянию на 24 декабря нынешнего года бреши оставались неисправленными.

Бреши позволяют удаленному атакующему спровоцировать зависание рекламной службы и осуществить XSS-атаку.

Брешь присутствует на странице поиска по сайту финучреждения.

По состоянию на 15 декабря нынешнего года брешь на citibank.com все еще не была исправлена.

Брешь приводила к ошибкам в процессе проверки безопасности HTML-тегов в поле комментариев, что позволяло совершить XSS-атаку.

XSS-уязвимости часто игнорируются разработчиками и сотрудниками служб безопасности, что приводит к катастрофическим последствиям.

Среди прочего, бреши были обнаружены на сайтах «Лаборатории Касперского», «Ростелекома» и «Альфа-Банка».

Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.

По словам создателей проекта XSSposed, архив станет некой альтернативой и продолжением ранее существовавшего ресурса xssed.org.

Брешь на странице авторизации на портале WebVPN позволяла неавторизованному удаленному пользователю осуществить XSS-атаку.

ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.

Администрация официального web-сайта организации проигнорировала информацию об обнаруженных сторонними исследователями брешах.

Участники группировки обещают воспользоваться брешью в последующей атаке.

По данным раскрывшего бреши исследователя, уязвимой является только модель D-Link 2760N.

Бреши были обнаружены в нескольких онлайн-сервисах экспертами компании Break Security.

Исследователь решил продемонстрировать эксплуатацию бреши разработчикам антивирусного ПО.

По данным хостинговой компании Firehost, за последних три месяца число таких нападений выросло на 160%.

На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.

В браузере устранены 2 уязвимости XSS атаки и одна уязвимость раскрытия важных данных.

Для эксплуатации уязвимости злоумышленнику достаточно разместить специально сформированную ссылку на целевом ресурсе.

Устраненные уязвимости позволяли раскрыть важные данные о пользователях и осуществить XSS атаку.

Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.

Исследователи обнаружили уязвимости на сайтах ВТБ24, Хоум кредит, Эксим, Райффайзен, Сбербанк и других банков.

Исследователь безопасности разместил в YouTube ролик, содержащий описание эксплуатации уязвимости в LiveJournal.

Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI.

Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XSS уязвимость.

Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone.

Хакер под псевдонимом Invectus опубликовал ссылки на 20 скомпрометированных web-страниц.

Компания Mail.ru устранила уязвимость, которая позволяла захватывать учетные записи пользователей службы ICQ.

Компания Veracode объявила о запуске нового сервиса, который поможет корпоративным клиентам находить и исправлять уязвимости на сайтах.

Используя DOM Snitch, web-разработчики, тестеры и простые пользователи могут наблюдать за изменениями DOM в реальном времени без необходимости анализировать JavaScript при помощи отладчика или аналогичного инструмента.

Одна из уже закрытых уязвимостей имела место в профиле пользователей, в поле “О себе” вашего номера. Вторая уязвимость присутствовала в сервисе блогов, причем недостаточно фильтровалось именно тело сообщения.

Неизвестные исследователи обнаружили уязвимость на сайте Apple и использовали ее для рекламы Windows 7.

На прошлой неделе стало известно об XSS-уязвимости в популярном движке веб-разработки Ruby On Rails. Уязвимость добралась до многих популярных сервисов, в том числе и до Twitter.

Данная уязвимость позволяет злоумышленникам вставлять вредоносные JavaScript в сообщения, путем добавления кода в поля API сторонних разработчиков приложений.

Вместо того чтобы перенести образец вредоносного кода в виде текста, сотрудники New York Times интегрировали его в интернет-страницу. Статья оказалась пораженной той же уязвимостью, о которой повествовала.

Обнаруженная XSS-уязвимость позволяет злоумышленнику перехватывать входные реквизиты пользователей или получать их файлы-cookie, открывающие доступ в администраторский интерфейс системы.

Эксплуатация уязвимости ведет к перехвату идентификационных файлов cookie, которые сервер отдает легальным пользователям. В Netcraft сообщают, что перехват возможен из-за наличия XSS-уязвимости на сайте Yahoo HotJobs (hotjobs.yahoo.com).

Одним из наиболее значимых нововведений в IE8 в плане повышения уровня защиты станут интегрированные средства предупреждения XSS-атак.

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.

Данные, представленные в документе Internet Security Threat Report за второе полугодие 2007 года, неутешительны. Число атак на пользователей интернета продолжает расти, а киберпреступники используют все новые способы обмана доверчивых жертв.

White Hat Security сообщает, что 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.

Livejournal.com уязвим к XSS атакам, которые могут позволить злоумышленнику получить доступ к учетным данным целевого пользователя.

Авторы утверждают, что патчи безопасности для flash-клиента не могут обеспечить решение данной проблемы: вредоносный код генерируется уже при создании файлов во многих популярных пакетах, в том числе DreamWeaver, Breeze и Camtasia.

Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года,   но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.