XSS
Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.
Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.
Уязвимости в PAN-OS могли угрожать безопасности внутренних сетей
Компания Palo Alto Networks устранила уязвимости в PAN-OS, операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.
Google избавится от встроенной в Chrome функции безопасности XSS Auditor
XSS Auditor стала неэффективной для защиты от XSS-атак.
Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io
Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.
Расширяемые рекламные баннеры могут использоваться для атак на сайты
Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.
В Microsoft Edge «сломалась» одна из функций безопасности
Речь идет о защите от XSS-атак.
Хакеры атакуют сайты на Magento через виджет Mirasvit Helpdesk
Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код.
Плагин uBlock Origin блокирует уведомления о кибератаках
При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.
Обнаружен способ обхода проактивного фильтра Bitrix WAF
Метод заключается в эксплуатации ошибки в регулярном выражении.
В Magento исправлены две опасные XSS-уязвимости
Ошибки позволяли выполнить код JavaScript в административной панели.
На сайте рекламной компании PublicityClerks исправлена XSS-уязвимость
Ошибка позволяла злоумышленникам создавать рекламные объявления, похищающие персональные данные.
Сайт розничной сети Asda подвержен множественным уязвимостям
Ошибки существуют в течение двух лет и до сих пор не исправлены.
Обработка эмодзи «ВКонтакте» позволяла осуществить XSS-атаку
При обработке смайлов социальная сеть позволяла выполнение скриптового кода.
В PayPal обнаружена XSS-уязвимость
Эксперты представили концепт атаки на платежный сервис.
XSSPosed объявила об открытии принципиально новой программы выплаты вознаграждений
Некоммерческий архив XSS-уязвимостей позволит всем желающим делать поощрительные выплаты.
Tesla Motors будет выплачивать вознаграждения за найденные бреши на своем сайте
Размер вознаграждений варьируется от $25 до $1 тыс.
На сайте supermarket.rambler.ru обнаружена XSS-уязвимость
В настоящее время брешь остается неисправленной.
На сайте Кремниевой долины обнаружена XSS-уязвимость
Брешь до сих пор остается неисправленной, ставя под угрозу пользователей и администраторов ресурса.
В WordPress исправлена опасная уязвимость
Брешь позволяла внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.
На сайте liveinternet.ru обнаружена XSS-уязвимость
В настоящее время уязвимость является неисправленной.
В web-интерфейсе pfSense обнаружены множественные уязвимости
Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.
Сайт amazon.com уязвим к XSS-атакам
По состоянию на 23 марта 2015 года уязвимость оставалась неисправленной.
Форум PCI Security Standards Council подвержен XSS-атакам
На форуме, посвященном системам безопасных платежей, обнаружили уязвимость, позволяющую осуществить XSS-атаку.
В системе Merchant Webmoney Transfer обнаружена XSS уязвимость
Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.
На сайте Стэнфордского университета обнаружена XSS-уязвимость
В настоящее время брешь еще не исправлена.
Обнаружена XSS уязвимость в Microsoft Internet Explorer
Удаленный пользователь может выполнить произвольный JavaScript сценарий в контексте безопасности любого сайта.
На сайте Парламентской ассамблеи Совета Европы обнаружена XSS-уязвимость
Данная брешь является уже второй XSS-уязвимостью на сайте ПАСЕ - первая была выявлена в августе 2007 года.
На сайте Европейского банка реконструкции и развития обнаружена XSS-уязвимость
По состоянию на 12:00 МСК 20 января брешь оставалась неисправленной, подвергая опасности как администраторов, так и посетителей ebrd.com.
На сайтах Moody’s и ЛАНИТ обнаружены XSS-уязвимости
По состоянию на 24 декабря нынешнего года бреши оставались неисправленными.
В Revive Adserver устранили две уязвимости
Бреши позволяют удаленному атакующему спровоцировать зависание рекламной службы и осуществить XSS-атаку.
На сайте «Сбербанка России» обнаружена XSS-уязвимость
Брешь присутствует на странице поиска по сайту финучреждения.
На сайте банка Citibank обнаружена XSS-уязвимость
По состоянию на 15 декабря нынешнего года брешь на citibank.com все еще не была исправлена.
В WordPress исправили критическую XSS-уязвимость
Брешь приводила к ошибкам в процессе проверки безопасности HTML-тегов в поле комментариев, что позволяло совершить XSS-атаку.
High-Tech Bridge: XSS – самый легкий способ взлома web-сайтов в 2014 году
XSS-уязвимости часто игнорируются разработчиками и сотрудниками служб безопасности, что приводит к катастрофическим последствиям.
Эксперты: В большом количестве сайтов известных компаний присутствуют XSS-уязвимости
Среди прочего, бреши были обнаружены на сайтах «Лаборатории Касперского», «Ростелекома» и «Альфа-Банка».
В «АНБ-непроницаемом» сервисе электронной почты обнаружена XSS-уязвимость
Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.
В Сети появился новый архив ХSS-уязвимостей
По словам создателей проекта XSSposed, архив станет некой альтернативой и продолжением ранее существовавшего ресурса xssed.org.
Эксперт рассказал об обнаружении уязвимости нулевого дня в Cisco ASA
Брешь на странице авторизации на портале WebVPN позволяла неавторизованному удаленному пользователю осуществить XSS-атаку.
Эксперты: Причиной масштабной утечки данных пользователей eBay стали множественные уязвимости
ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.
Всемирный экономический форум допустил утечку 100 тыс. электронных адресов
Администрация официального web-сайта организации проигнорировала информацию об обнаруженных сторонними исследователями брешах.
Хакеры из Inj3ct0r обнаружили XSS-уязвимость на web-сайте Пентагона
Участники группировки обещают воспользоваться брешью в последующей атаке.
В маршрутизаторах D-Link выявлен ряд новых уязвимостей
По данным раскрывшего бреши исследователя, уязвимой является только модель D-Link 2760N.
Facebook устранила ряд XSS-уязвимостей
Бреши были обнаружены в нескольких онлайн-сервисах экспертами компании Break Security.
XSS уязвимость на сайте Avira позволяла скомпрометировать учетные данные пользователей
Исследователь решил продемонстрировать эксплуатацию бреши разработчикам антивирусного ПО.
Количество XSS-атак растет угрожающими темпами
По данным хостинговой компании Firehost, за последних три месяца число таких нападений выросло на 160%.
Исследователи безопасности признали обновление электронной почты Yahoo неэффективным
На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.
Mozilla устранила уязвимости в Firefox
В браузере устранены 2 уязвимости XSS атаки и одна уязвимость раскрытия важных данных.
Уязвимость в Opera позволяет осуществить XSS атаку на любой сайт
Для эксплуатации уязвимости злоумышленнику достаточно разместить специально сформированную ссылку на целевом ресурсе.
В web-сервере Apache устранены две уязвимости
Устраненные уязвимости позволяли раскрыть важные данные о пользователях и осуществить XSS атаку.
Создание скриншотов окна браузера с помощью HTML5 и XSS
Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.
Сайты крупнейших банков опасны для пользователей
Исследователи обнаружили уязвимости на сайтах ВТБ24, Хоум кредит, Эксим, Райффайзен, Сбербанк и других банков.
XSS
Румынский исследователь обнаружил XSS уязвимость в ЖЖ
Исследователь безопасности разместил в YouTube ролик, содержащий описание эксплуатации уязвимости в LiveJournal.
Пользователи IE под угрозой XSS-атак
Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI.
В свободном доступе появился код для хищения личных данных клиентов банков
Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XSS уязвимость.
XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу
Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone.
Хакер обнаружил XSS-уязвимости на 20 популярных web-сайтах
Хакер под псевдонимом Invectus опубликовал ссылки на 20 скомпрометированных web-страниц.
В ICQ устранена XSS-уязвимость
Компания Mail.ru устранила уязвимость, которая позволяла захватывать учетные записи пользователей службы ICQ.
Новый сервис от компании Veracode будет проверять сайты на наличие уязвимостей
Компания Veracode объявила о запуске нового сервиса, который поможет корпоративным клиентам находить и исправлять уязвимости на сайтах.
Google выпустила расширение для анализа уязвимостей на Web-сайтах
Используя DOM Snitch, web-разработчики, тестеры и простые пользователи могут наблюдать за изменениями DOM в реальном времени без необходимости анализировать JavaScript при помощи отладчика или аналогичного инструмента.
На сайте icq.com найдены XSS уязвимости
Одна из уже закрытых уязвимостей имела место в профиле пользователей, в поле “О себе” вашего номера. Вторая уязвимость присутствовала в сервисе блогов, причем недостаточно фильтровалось именно тело сообщения.
Сайт Apple рекламировал Windows 7
Неизвестные исследователи обнаружили уязвимость на сайте Apple и использовали ее для рекламы Windows 7.
XSS-уязвимость в RubyOnRails затронула Twitter
На прошлой неделе стало известно об XSS-уязвимости в популярном движке веб-разработки Ruby On Rails. Уязвимость добралась до многих популярных сервисов, в том числе и до Twitter.
Twitter не устранил XSS-уязвимость
Данная уязвимость позволяет злоумышленникам вставлять вредоносные JavaScript в сообщения, путем добавления кода в поля API сторонних разработчиков приложений.
Сотрудники New York Times по ошибке заразили свой сайт
Вместо того чтобы перенести образец вредоносного кода в виде текста, сотрудники New York Times интегрировали его в интернет-страницу. Статья оказалась пораженной той же уязвимостью, о которой повествовала.
В PayPal найдена опасная XSS-уязвимость
Обнаруженная XSS-уязвимость позволяет злоумышленнику перехватывать входные реквизиты пользователей или получать их файлы-cookie, открывающие доступ в администраторский интерфейс системы.
Netcraft обнаружила серьезную уязвимость на сайте Yahoo
Эксплуатация уязвимости ведет к перехвату идентификационных файлов cookie, которые сервер отдает легальным пользователям. В Netcraft сообщают, что перехват возможен из-за наличия XSS-уязвимости на сайте Yahoo HotJobs (hotjobs.yahoo.com).
IE8 станет еще безопаснее
Одним из наиболее значимых нововведений в IE8 в плане повышения уровня защиты станут интегрированные средства предупреждения XSS-атак.
ВКонтакте.ру обнаружена XSS-уязвимость
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.
Symantec: Отчет о безопасности в Сети
Данные, представленные в документе Internet Security Threat Report за второе полугодие 2007 года, неутешительны. Число атак на пользователей интернета продолжает расти, а киберпреступники используют все новые способы обмана доверчивых жертв.
White Hat Security: 90% популярных сайтов имеют уязвимости
White Hat Security сообщает, что 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.
Межсайтовый скриптинг в Livejournal.com
Livejournal.com уязвим к XSS атакам, которые могут позволить злоумышленнику получить доступ к учетным данным целевого пользователя.
500.000 flash файлов на популярных сайтах уязвимы к XSS
Авторы утверждают, что патчи безопасности для flash-клиента не могут обеспечить решение данной проблемы: вредоносный код генерируется уже при создании файлов во многих популярных пакетах, в том числе DreamWeaver, Breeze и Camtasia.
Paypal 2 года не мог закрыть XSS уязвимость на Web сайте
Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года, но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.