Уязвимости межсайтового скриптинга (XSS) позволяет хакерам контролировать содержание уязвимого, однако все еще доверенного сайта, передавая критическую информацию киберпреступникам. Кроме создания средств для всплывающих окон, которые ведут на контролируемые хакерами сайты, XSS так же может привести к краже куки.
Никлас Фемерстранд - хакер, который в окт. 2011 обнаружил, что механизм отладки сайта American Express был уязвим к подобного рода уязвимости. Он разработал так называемый "XSS на стероидах"-скрипт, исследовав похожую уязвимость на сайте одного из шведских банков.
"Существуют общепринятые мифы о XSS, в которых он может оказаться использован для фишинга и сбора куки", - заявил он. "Мой код разрушает эти мифы и трансформирует непостоянный XSS в что-то устойчивое".
"Я сделал подобный код, который определяет свое собственное наличие и локально инфицирует полезной нагрузкой все ссылки веб-сайта для посетителя. В этом случае непостоянный XSS становится постоянным для него. Он к тому же следит за поведением пользователя и отправляет интересную информацию хакеру (логины, пароли, информацию о кредитной карте)", - прибавил он.
Фемерстранд опубликовал собственный код на этом сайте на прошлой неделе.
Рик Фергюсон, директор по исследованию безопасности и коммуникациям в Trend Micro, подтвердил, что скрипт, разработанный Ферестрандом, представляет собою крупную опасность, чем предполагается, однако есть вопросы насчет того, являются ли идеи хакера новаторскими. Фергюсон заявил, что эта техника существовала уже какое-то время и была интегрирована в beefproject.com.
В ответ на это заявка Фемерстранд заявил: "Я слышал о BEEF, однако лишь мимоходом. Я не знал о том, что они применяют подобную технику, и мне не попадались на глаза какие-нибудь бумаги на эту тематику. Я увидел, что их кейлоггер не может различать строки ввода одну от иной, и вместо ввода того, что было напечатано, вводит все, что располагается на странице. Я никогда не пользовался BEEF, однако лично мне кажется, что проект чересчур раздут".
Он подчеркнул, что публикация кода была логичной, т.к. она выявила не отвечающие требованиям пробелы в безопасности банковских структур.
"С самого начала код был написал как подтверждение того, насколько просто ограбить банк сейчас", - написал он. "Я вижу, что банки насмехаются над людьми. Банки недостаточно значительно относятся к вопросам безопасности. Однако когда человек видит надпись стандарт PCI DSS, он думает, что банк неплохо выполняет собственную работу, однако по сути, все, что делают такие стандарты - выдают логотип "доказано нами же" и проверяют 4-ех значные ли PIN коды".
"Современные банки знают, что в случае банкротства правительство окажет им финансовую поддержку. Я убежден, что публикация кода - правильное решение, т.к. она выявляет практическое значение финансовой безопасности", - прибавил Фемерстранд.
Комментариев нет:
Отправить комментарий