На сайте Nasdaq ликвидирована XSS-уязвимость

17/09/2013 11:37

Швейцарская компания заявляет, что сайт торговой площадки Nasdaq более двух недель содержал в себе критический опасную XSS-уязвимость, однако вчера она уже была закрыта. Илья Колоченко, гендиректор швейцарской High-Tech Bridge, говорит он он недавно сообщил о бреши в системе ИТ-безопасности Nasdaq. "Если в двух словах, то я могу их спамить", - говорит Колоченко. Сайт nasdaq.com позволяет пользователям создавать аккаунты и профили для отслеживания курсов акций и биржевых новостей. Оператор площадки Nasdaq говорит, что указанная XSS-уязвимость не была использована в реальной атаке и никакие пользовательские данные не были скомпрометированы. "Мы немедленно ответили ему, всем вопросам, связанным с безопасностью, мы уделяем приоритетное внимание", - заявили в Nasdaq. Напомним, что XSS-атаки или атаки типа межсайтовый скриптинг представляют собой хакерское нападение, когда на целевом сервере запускается скрипт, который там запускаться не должен. Это может привести к краже данных c атакуемого сайта, привести к запуску другого вредоносного кода и прочим нежелательным последствиям. Колоченко говорит, что выявленная уязвимость могла использоваться атакующим несколькими путями, например для кражи браузерной истории, а также cookie-файлов пользователя. Также ее можно было применять для встраивания HTML-кода для запроса персональных данных пользователей таким образом, как будто запрос был от имени Nasdaq. Помимо этого, XSS-уязвимость могла использоваться для размещения вредоносных ссылок на сайте Nasdaq.
Источник