Подраздел глобального Интернет-представительства Visa для жителей Соединенных Штатов Америки - usa.visa.com - оказался уязвим для атак посредством межсайтового исполнения сценариев. О проблеме сообщил вчера исследователь в области безопасности, скрывающийся за псевдонимом "d3v1l". Ранее этот специалист уже обнаруживал подобные уязвимости на ряде крупных ресурсов Сети, в числе которых - сайты VeriSign, Twitter и Symantec.

XSS-уязвимость на usa.visa.com относится к классу "reflected XSS". Этот тип - один из наиболее распространенных, однако чрезвычайной опасности он не представляет. При помощи такой уязвимости можно лишь попытаться обманом заставить пользователя перейти по вредоносной ссылке, однако известность ресурса и всеобщее доверие пользователей к имени фирмы способны самым положительным образом сказаться на успешности подобной атаки.

Уязвимость типа "reflected XSS" на сетевом представительстве банка, кредитного объединения или любого иного финансового учреждения, к числу которых относится и Visa, может быть использована для придания кажущейся достоверности фишинговому сообщению. К примеру, не так давно троянские кони из семейства ZBot имели обыкновение направлять пользователей на фальшивые ресурсы, где жертвам предлагалось заполнить онлайн-формы, предназначенные якобы для проводимых Visa и MasterCard программ противодействия мошенничеству.

Эксплуатируя уязвимости такого рода, злоумышленники могут проводить запросы на доставку страниц через пораженный ресурс (в данном случае - usa.visa.com). В фишинговом письме пользователь увидит ссылку, указывающую на http://usa.visa.com/[произвольный текст], и даже если переход по ней в конце концов приведет его на какой-то другой домен, жертва может и не обратить на это никакого внимания: ведь фишерам уже удалось завоевать ее доверие.

21 сентября, 2010

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных