Security Lab

XSS

XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.
Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.
Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.
article-title

Мошенники используют XSS-уязвимость для обмана пользователей Facebook

Преступники используют Facebook для распространения вредоносных ссылок, перенаправляющих пользователей на мошеннические сайты.

article-title

Уязвимости в PAN-OS могли угрожать безопасности внутренних сетей

Компания Palo Alto Networks устранила уязвимости в PAN-OS, операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.

article-title

Google избавится от встроенной в Chrome функции безопасности XSS Auditor

XSS Auditor стала неэффективной для защиты от XSS-атак.

article-title

Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io

Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.

article-title

Расширяемые рекламные баннеры могут использоваться для атак на сайты

Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.

article-title

В Microsoft Edge «сломалась» одна из функций безопасности

Речь идет о защите от XSS-атак.

article-title

Хакеры атакуют сайты на Magento через виджет Mirasvit Helpdesk

Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код.

article-title

Плагин uBlock Origin блокирует уведомления о кибератаках

При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.

article-title

Обнаружен способ обхода проактивного фильтра Bitrix WAF

Метод заключается в эксплуатации ошибки в регулярном выражении.

article-title

В Magento исправлены две опасные XSS-уязвимости

Ошибки позволяли выполнить код JavaScript в административной панели.

article-title

На сайте рекламной компании PublicityClerks исправлена XSS-уязвимость

Ошибка позволяла злоумышленникам создавать рекламные объявления, похищающие персональные данные.

article-title

Сайт розничной сети Asda подвержен множественным уязвимостям

Ошибки существуют в течение двух лет и до сих пор не исправлены.

article-title

Обработка эмодзи «ВКонтакте» позволяла осуществить XSS-атаку

При обработке смайлов социальная сеть позволяла выполнение скриптового кода.

article-title

В PayPal обнаружена XSS-уязвимость

Эксперты представили концепт атаки на платежный сервис.

article-title

XSSPosed объявила об открытии принципиально новой программы выплаты вознаграждений

Некоммерческий архив XSS-уязвимостей позволит всем желающим делать поощрительные выплаты.

article-title

Tesla Motors будет выплачивать вознаграждения за найденные бреши на своем сайте

Размер вознаграждений варьируется от $25 до $1 тыс.

article-title

На сайте supermarket.rambler.ru обнаружена XSS-уязвимость

В настоящее время брешь остается неисправленной.

article-title

На сайте Кремниевой долины обнаружена XSS-уязвимость

Брешь до сих пор остается неисправленной, ставя под угрозу пользователей и администраторов ресурса.

article-title

В WordPress исправлена опасная уязвимость

Брешь позволяла внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.

article-title

На сайте liveinternet.ru обнаружена XSS-уязвимость

В настоящее время уязвимость является неисправленной.

article-title

В web-интерфейсе pfSense обнаружены множественные уязвимости

Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.

article-title

Сайт amazon.com уязвим к XSS-атакам

По состоянию на 23 марта 2015 года уязвимость оставалась неисправленной.

article-title

Форум PCI Security Standards Council подвержен XSS-атакам

На форуме, посвященном системам безопасных платежей, обнаружили уязвимость, позволяющую осуществить XSS-атаку.

article-title

В системе Merchant Webmoney Transfer обнаружена XSS уязвимость

Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.

article-title

На сайте Стэнфордского университета обнаружена XSS-уязвимость

В настоящее время брешь еще не исправлена.

article-title

Обнаружена XSS уязвимость в Microsoft Internet Explorer

Удаленный пользователь может выполнить произвольный JavaScript сценарий в контексте безопасности любого сайта.

article-title

На сайте Парламентской ассамблеи Совета Европы обнаружена XSS-уязвимость

Данная брешь является уже второй XSS-уязвимостью на сайте ПАСЕ - первая была выявлена в августе 2007 года.

article-title

На сайте Европейского банка реконструкции и развития обнаружена XSS-уязвимость

По состоянию на 12:00 МСК 20 января брешь оставалась неисправленной, подвергая опасности как администраторов, так и посетителей ebrd.com.

article-title

На сайтах Moody’s и ЛАНИТ обнаружены XSS-уязвимости

По состоянию на 24 декабря нынешнего года бреши оставались неисправленными.

article-title

В Revive Adserver устранили две уязвимости

Бреши позволяют удаленному атакующему спровоцировать зависание рекламной службы и осуществить XSS-атаку.

article-title

На сайте «Сбербанка России» обнаружена XSS-уязвимость

Брешь присутствует на странице поиска по сайту финучреждения.

article-title

На сайте банка Citibank обнаружена XSS-уязвимость

По состоянию на 15 декабря нынешнего года брешь на citibank.com все еще не была исправлена.

article-title

В WordPress исправили критическую XSS-уязвимость

Брешь приводила к ошибкам в процессе проверки безопасности HTML-тегов в поле комментариев, что позволяло совершить XSS-атаку.

article-title

High-Tech Bridge: XSS – самый легкий способ взлома web-сайтов в 2014 году

XSS-уязвимости часто игнорируются разработчиками и сотрудниками служб безопасности, что приводит к катастрофическим последствиям.

article-title

Эксперты: В большом количестве сайтов известных компаний присутствуют XSS-уязвимости

Среди прочего, бреши были обнаружены на сайтах «Лаборатории Касперского», «Ростелекома» и «Альфа-Банка».

article-title

В «АНБ-непроницаемом» сервисе электронной почты обнаружена XSS-уязвимость

Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.

article-title

В Сети появился новый архив ХSS-уязвимостей

По словам создателей проекта XSSposed, архив станет некой альтернативой и продолжением ранее существовавшего ресурса xssed.org.

article-title

Эксперт рассказал об обнаружении уязвимости нулевого дня в Cisco ASA

Брешь на странице авторизации на портале WebVPN позволяла неавторизованному удаленному пользователю осуществить XSS-атаку.

article-title

Эксперты: Причиной масштабной утечки данных пользователей eBay стали множественные уязвимости

ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.

article-title

Всемирный экономический форум допустил утечку 100 тыс. электронных адресов

Администрация официального web-сайта организации проигнорировала информацию об обнаруженных сторонними исследователями брешах.

article-title

Хакеры из Inj3ct0r обнаружили XSS-уязвимость на web-сайте Пентагона

Участники группировки обещают воспользоваться брешью в последующей атаке.

article-title

В маршрутизаторах D-Link выявлен ряд новых уязвимостей

По данным раскрывшего бреши исследователя, уязвимой является только модель D-Link 2760N.

article-title

Facebook устранила ряд XSS-уязвимостей

Бреши были обнаружены в нескольких онлайн-сервисах экспертами компании Break Security.

article-title

XSS уязвимость на сайте Avira позволяла скомпрометировать учетные данные пользователей

Исследователь решил продемонстрировать эксплуатацию бреши разработчикам антивирусного ПО.

article-title

Количество XSS-атак растет угрожающими темпами

По данным хостинговой компании Firehost, за последних три месяца число таких нападений выросло на 160%.

article-title

Исследователи безопасности признали обновление электронной почты Yahoo неэффективным

На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.

article-title

Mozilla устранила уязвимости в Firefox

В браузере устранены 2 уязвимости XSS атаки и одна уязвимость раскрытия важных данных.

article-title

Уязвимость в Opera позволяет осуществить XSS атаку на любой сайт

Для эксплуатации уязвимости злоумышленнику достаточно разместить специально сформированную ссылку на целевом ресурсе.

article-title

В web-сервере Apache устранены две уязвимости

Устраненные уязвимости позволяли раскрыть важные данные о пользователях и осуществить XSS атаку.

article-title

Создание скриншотов окна браузера с помощью HTML5 и XSS

Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.

article-title

Сайты крупнейших банков опасны для пользователей

Исследователи обнаружили уязвимости на сайтах ВТБ24, Хоум кредит, Эксим, Райффайзен, Сбербанк и других банков.

article-title

XSS

article-title

Румынский исследователь обнаружил XSS уязвимость в ЖЖ

Исследователь безопасности разместил в YouTube ролик, содержащий описание эксплуатации уязвимости в LiveJournal.

article-title

Пользователи IE под угрозой XSS-атак

Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI.

article-title

В свободном доступе появился код для хищения личных данных клиентов банков

Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XSS уязвимость.

article-title

XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу

Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone.

article-title

Хакер обнаружил XSS-уязвимости на 20 популярных web-сайтах

Хакер под псевдонимом Invectus опубликовал ссылки на 20 скомпрометированных web-страниц.

article-title

В ICQ устранена XSS-уязвимость

Компания Mail.ru устранила уязвимость, которая позволяла захватывать учетные записи пользователей службы ICQ.

article-title

Новый сервис от компании Veracode будет проверять сайты на наличие уязвимостей

Компания Veracode объявила о запуске нового сервиса, который поможет корпоративным клиентам находить и исправлять уязвимости на сайтах.

article-title

Google выпустила расширение для анализа уязвимостей на Web-сайтах

Используя DOM Snitch, web-разработчики, тестеры и простые пользователи могут наблюдать за изменениями DOM в реальном времени без необходимости анализировать JavaScript при помощи отладчика или аналогичного инструмента.

article-title

На сайте icq.com найдены XSS уязвимости

Одна из уже закрытых уязвимостей имела место в профиле пользователей, в поле “О себе” вашего номера. Вторая уязвимость присутствовала в сервисе блогов, причем недостаточно фильтровалось именно тело сообщения.

article-title

Сайт Apple рекламировал Windows 7

Неизвестные исследователи обнаружили уязвимость на сайте Apple и использовали ее для рекламы Windows 7.

article-title

XSS-уязвимость в RubyOnRails затронула Twitter

На прошлой неделе стало известно об XSS-уязвимости в популярном движке веб-разработки Ruby On Rails. Уязвимость добралась до многих популярных сервисов, в том числе и до Twitter.

article-title

Twitter не устранил XSS-уязвимость

Данная уязвимость позволяет злоумышленникам вставлять вредоносные JavaScript в сообщения, путем добавления кода в поля API сторонних разработчиков приложений.

article-title

Сотрудники New York Times по ошибке заразили свой сайт

Вместо того чтобы перенести образец вредоносного кода в виде текста, сотрудники New York Times интегрировали его в интернет-страницу. Статья оказалась пораженной той же уязвимостью, о которой повествовала.

article-title

В PayPal найдена опасная XSS-уязвимость

Обнаруженная XSS-уязвимость позволяет злоумышленнику перехватывать входные реквизиты пользователей или получать их файлы-cookie, открывающие доступ в администраторский интерфейс системы.

article-title

Netcraft обнаружила серьезную уязвимость на сайте Yahoo

Эксплуатация уязвимости ведет к перехвату идентификационных файлов cookie, которые сервер отдает легальным пользователям. В Netcraft сообщают, что перехват возможен из-за наличия XSS-уязвимости на сайте Yahoo HotJobs (hotjobs.yahoo.com).

article-title

IE8 станет еще безопаснее

Одним из наиболее значимых нововведений в IE8 в плане повышения уровня защиты станут интегрированные средства предупреждения XSS-атак.

article-title

ВКонтакте.ру обнаружена XSS-уязвимость

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.

article-title

Symantec: Отчет о безопасности в Сети

Данные, представленные в документе Internet Security Threat Report за второе полугодие 2007 года, неутешительны. Число атак на пользователей интернета продолжает расти, а киберпреступники используют все новые способы обмана доверчивых жертв.

article-title

White Hat Security: 90% популярных сайтов имеют уязвимости

White Hat Security сообщает, что 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.

article-title

Межсайтовый скриптинг в Livejournal.com

Livejournal.com уязвим к XSS атакам, которые могут позволить злоумышленнику получить доступ к учетным данным целевого пользователя.

article-title

500.000 flash файлов на популярных сайтах уязвимы к XSS

Авторы утверждают, что патчи безопасности для flash-клиента не могут обеспечить решение данной проблемы: вредоносный код генерируется уже при создании файлов во многих популярных пакетах, в том числе DreamWeaver, Breeze и Camtasia.

article-title

Paypal 2 года не мог закрыть XSS уязвимость на Web сайте

Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года,   но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.