Security Lab

XSS

XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.

Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.

Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.

Кейс: как мотивировать разработчиков заниматься вопросами безопасности

Продукция Citrix подвергается активным хакерским атакам благодаря нескольким уязвимостям нулевого дня

Корпоративным пользователям NetScaler ADC и NetScaler Gateway нужно срочно обновить своё ПО до актуальной версии.

Что случилось с Lemmy? Подробности масштабного взлома и его последствий

Несколько альтернативных сайтов Reddit на базе Lemmy были взломаны из-за уязвимости нулевого дня.

Срочно обновите Zimbra! Google обнаружила активно эксплуатируемую уязвимость в популярном почтовом клиенте

Злоумышленники могут читать и менять вашу почту.

Запись за пределами границ - самая опасная уязвимость в ПО по версии США

Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям.

3 миллиона атак за 2 дня: очередной плагин WordPress активно эксплуатируется хакерами

Срочно обновите уязвимый плагин, пока злоумышленники не развернули полезную нагрузку.

Хакеру требуется 24 часа для эксплуатации исправленной уязвимости WordPress

После публикации PoC-эксплойта наблюдалось большое число попыток захвата уязвимых сайтов.

Уязвимость в популярном плагине WordPress подвергает кибератакам более 2 млн. сайтов

Ошибка позволяет злоумышленнику за один клик получить полный контроль над сайтом.

Google TAG предупреждает о массированных фишинговых атаках на территории Восточной Европы

И вновь зарубежные исследователи считают российских хакеров причастными к данным киберинцидентам.

Три в ряд: очередная уязвимость в Microsoft Azure позволяет хакерам получить контроль над системой жертвы

Компании из Редмонда пора бы всерьёз задуматься о безопасности…

Критические уязвимости в ПО Wago позволили хакерам получить полный контроль над микроконтроллерами компании

CERT раскрыла все найденные уязвимости и дала каждой подробную характеристику.

Обновление Splunk Enterprise исправляет критические недостатки платформы

Патч безопасности затрагивает свыше десяти различных уязвимостей.

Популярные за рубежом офисные пакеты уже несколько месяцев уязвимы для атак хакеров

Пользователи сразу четырёх систем для работы с документами в опасности.

Злоумышленники могли по кирпичикам разобрать онлайн-сообщество фанатов LEGO

Уязвимости в API на сайте BrickLink позволяют киберпреступникам похищать аккаунты и взламывать серверы.

Бей своих, чтобы чужие боялись: CloudSEK утверждает, что ее системы были взломаны другой ИБ-компанией

Сейчас данные CloudSEK продаются на одном из теневых форумов за $10 000.

10 крутых фишек нейросети ChatGPT для разработчиков и ИБ-специалистов

Останутся ли востребованы живые программисты после создания ChatGPT?

Уязвимость загрязнения прототипа ставит под угрозу тысячи веб-приложений на Ember.js

Используя уязвимость, киберпреступники могут с легкостью провести XSS-атаку.

Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон

Настройка глубоких ссылок позволяет выполнить XSS-атаку и доставить дроппер на устройство.

Критическая RCE-уязвимость обнаружена в Cobalt Strike

Злоумышленник может незаметно внедриться в компьютер жертвы с помощью HTML-тегов.

Никакой чести среди воров: злоумышленники внедряют вредоносный JS-код на сайты криптомошенников

А для жертв исход один – потеря своей криптовалюты.