Security Lab

XSS

XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.
Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.
Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.
article-title

3 XSS-уязвимости могут привести к полному отключению системы

Приложения для веб-разработки содержат ошибки, которые позволяют выполнить любую команду на сервере.

article-title

Тысячи аккаунтов GitLab под угрозой: новая критическая уязвимость позволяет похищать аккаунты жертв

Компания устранила эту и еще семь менее значительных уязвимостей.

article-title

Исследователь опубликовал новый метод обхода CSP с помощью WordPress

Изящная атака сводит на нет создание безопасного CSP, если сайт использует WordPress.

article-title

Уязвимость в Screencastify позволяла сайтам шпионить за пользователями через камеры

Хотя уязвимость была исправлена еще 15 февраля 2022 года, расширение Screencastify все еще представляет угрозу.

article-title

У Darkside и REvil появился наследник

Кибервымогательская группировка BlackMatter готова заплатить до $100 тыс. за первоначальный доступ к корпоративным сетям.

article-title

Вымогателей изгнали с хакерского форума Exploit

Ранее о запрете тем, связанных с вымогательским ПО, объявила администрация площадки XSS.

article-title

Один из самых популярных хакерских форумов запретил все темы касательно вымогательского ПО

После атаки на Colonial Pipeline ожесточилась борьба с вымогательским ПО, и форум XSS решил «откреститься» от этой темы.

article-title

Полиция Нидерландов хакерам: «Все допускают ошибки. Мы ждем ваших»

Полиция Нидерландов опубликовала на киберпреступных форумах «дружеские» предупреждения для хакеров.

article-title

Олимпиаду первого уровня можно взломать всего за секунду

Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.

article-title

Опубликован эксплоит для обхода Cloudflare WAF

О проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной.

article-title

Мошенники используют XSS-уязвимость для обмана пользователей Facebook

Преступники используют Facebook для распространения вредоносных ссылок, перенаправляющих пользователей на мошеннические сайты.

article-title

Уязвимости в PAN-OS могли угрожать безопасности внутренних сетей

Компания Palo Alto Networks устранила уязвимости в PAN-OS, операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.

article-title

Google избавится от встроенной в Chrome функции безопасности XSS Auditor

XSS Auditor стала неэффективной для защиты от XSS-атак.

article-title

Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io

Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.

article-title

Расширяемые рекламные баннеры могут использоваться для атак на сайты

Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.

article-title

В Microsoft Edge «сломалась» одна из функций безопасности

Речь идет о защите от XSS-атак.

article-title

Хакеры атакуют сайты на Magento через виджет Mirasvit Helpdesk

Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код.

article-title

Плагин uBlock Origin блокирует уведомления о кибератаках

При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.

article-title

Обнаружен способ обхода проактивного фильтра Bitrix WAF

Метод заключается в эксплуатации ошибки в регулярном выражении.

article-title

В Magento исправлены две опасные XSS-уязвимости

Ошибки позволяли выполнить код JavaScript в административной панели.