В понедельник, 15 декабря 2014 года, исследователь безопасности под ником Tactic4l обнаружил XSS-уязвимость на сайте «Сбербанка России», о чем сообщается на сайте XSSPosed.org. По данным эксперта, бреши подвержена страница поиска по сайту московского отделения финучреждения.
По данным XSSPosed, уязвимость до сих пор не исправлена. Киберпреступники могут ее проэксплуатировать и похитить персональные или платежные данные пользователей сайта. Также вероятна кража cookie-файлов, логинов и паролей, а также истории браузера.
Исследователь предоставил PoC-код для эксплуатации бреши. Он выглядит следующим образом:
http://www.sberbank.ru/moscow/ru/suggest_search_full/index.php?q114=ouch;%22/%3E%3Chr%3E%3Chr%3E%3Cscript%3Ealert(%22XSSPOSED%22)%3C/script%3E
На момент написания новости проверить, исправлена ли уязвимость, не удалось, поскольку на сайте проводились внеочередные технические работы.
