Межсайтовый скриптинг на web-сайте American Express

Межсайтовый скриптинг на web-сайте American Express

Толковый словарь

Уязвимость на web-сайте American Express подвергала клиентов серьезному риску безопасности до того, как AmEx не заблокировал часть своего web-сайта 6 октября 2011 г.

Исследователь Никлас Фемерстранд (Niklas Femerstrand) заявил, что проблема возникла из-за debug-режима, в котором по непонятным причинам работал web- сайт americanexpress.com. Это предоставляло возможность доступа к уязвимым средствам отладки. Уязвимость в безопасности создала возможность сбора аутентификационных cookie пользователей, сказал Н. Фемерстранд.

Компания AmEx сообщила, что проблема была найдена на тестовой странице, которую она заблокировала днем 6 октября. В сообщении, адресованном Financial News Network, она подчеркнула, что клиентская информация не подвергалась риску.

Н. Фемерстранд опубликовал свое «открытие» 5 октября  – в сообщении с POC иллюстрацией уязвимости – после того, как он попытался сообщить об ошибке непосредственно AmEx. «Средство отладки уязвимо перед XSS, – сообщил он. — Окно отладки обновляет само себя, так что внедренный код, который не разрывает цикл, будет выполняться бесконечно. Злоумышленник может внедрить cookie stealer в сочетании с jQuery .hide и заполучить куки – которые, как ни странно, могут быть использованы при помощи админ-панели, предоставляемой неаккуратными разработчиками American Express».

Н. Фемерстранд сказал, что уязвимость все еще присутствовала на web-сайте спустя несколько часов после того, как он ее обнародовал.

Ознакомиться с другими новостями по данной тематике Вы можете в рубрике Безопасность

По материалам xakep

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных