На прошлой неделе на сайтах трех британских компаний были обнаружены примечательные сетевые уязвимости.
В этот раз со спущенными штанами застали сайты банков HSBC и Barclays Group, а также основной веб-портал газеты The Telegraph. Хакеры опубликовали скриншоты, свидетельствующие о том, что все три ресурса уязвимы к атакам, способным нанести вред безопасности их посетителей.
Так, ошибки в межсайтовом скриптинге на сайте HSBC по состоянию на поздний вечер вчерашнего дня еще не были устранены, хотя с момента публикации на блоге XSSed прошло уже более двух суток. Баг позволяет атакующим размещать на сайтах HSBC скрипты JavaScript и другой контент, обманным путем заставляя пользователя кликнуть по особым образом составленному сетевому адресу.
Скриншот, который ты видишь на экране, демонстрирует сайт HSBC, предназначенный для пользователей из Гонконга. Благодаря ошибкам в его структуре исследователям с блога XSSed удалось разместить в окне браузера свою собственную статью и баннер. На сайте Barclays обнаружен аналогичный баг, однако к вечеру понедельника ошибка уже была устранена.
Практически одновременно с отчетом XSSed сайт HackersBlog опубликовал детали уязвимости к SQL-инъекциям, которую команда его хакеров обнаружила на портале газеты The Telegraph. Баг особенно серьезен по той причине, что злоумышленники имели возможность получить доступ к важным системным файлам.
Добавим лишь, что по словам Джеремии Гроссмана из WhiteHat Security, более двух третей сайтов имеют хотя бы одну уязвимость к межсайтовому скриптингу, a минимум 16 из тысячи самых популярных ресурсов подвержены уязвимостям к SQL-инъекциям.
www.xakep.ru