Обнаружены XSS-уязвимости на сайтах Moody’s и ЛАНИТ
Интернет

Обнаружены XSS-уязвимости на сайтах Moody’s и ЛАНИТ

Международное рейтинговое агентство Moody’s считается одним из самых посещаемых в Интернете, поэтому хакерская деятельность на этом сайте не является редкостью. Раньше уже не раз была информация о том, что в защите была обнаружена ещё одна ошибка. Теперь эксперты обнаружили уязвимость, которая могла позволить злоумышленниками выполнить целевую XSS-атаку на сайт. Долгое время сайт moodys.com был почти беззащитным, потому что администрация очень медленно закрывала обнаруженные уязвимости. Более того, на ресурсе не было ни одного предупреждения об этом.

Такая же уязвимость обнаружена мониторинговым центром на сайте commerce.lanit.ru, принадлежащем компании ЛАНИТ. Работа этих организаций охватывает десятки тысяч пользователей по всей территории СНГ, поэтому работоспособность сайта может быть критически важной для эффективного ведения бизнеса. Отделы безопасности ЛАНИТ быстро приняли нужные меры, поэтому в феврале обновления закрыли все дыры. Сегодня ресурс атаковать через XSS описанными в отчёте методами не получится.

Сайт xssposed.org собирает данные о наличии новых обновлений и исправлений. Пользователям нужно периодически посещать его перед тем, как оставлять на сайтах конфиденциальные данные. Вероятность кражи всегда есть, но быстрые действия IT-отдела часто успевают помешать этому. Что касается XSS-уязвимостей, теоретически они позволяли бы красть куки-файлы из браузера, просматривать прописанные людьми пароли, искать данные о платёжных системах, если похожие сведения были оставлены пользователями сайта. Вся база данных была как на ладони, оставалась и вероятность выполнения произвольного программного когда на этой системе. Учитывалась и история просмотров по внутреннему древу каталогов. Для выполнения атак используется запутанная социальная инженерия или обычный почтовый фишинг.

2 2054 Рейтинг 4.205/5 основан на 2054 просмотрах
Комментарии
  • LionsG@te

    Про такие уязвимости частенько слышу. Читал на нескольких разных ресурсах.

    Thursday, 04-10-2018 11:14
  • Zeu$1444

    Именно уязвимости XSS стали самыми популярными у хакеров и взломщиков.

    Wednesday, 13-01-2021 01:08