Наверх
Меню
Новости
Статьи
twitter
Новости Internet
12 января 2015
1022
  На сайте рейтингового агентства Fitch обнаружена XSS-уязвимость  
 
На сайте рейтингового агентства Fitch обнаружена XSS-уязвимость
По состоянию на 12 января нынешнего года брешь не была исправлена. 11 января текущего года исследователь безопасности под ником E1337 обнаружил XSS-уязвимость на сайте рейтингового агентства Fitch, о чем сообщается на сайте XSSPosed.org. По данным специалиста, бреши подвержена одна из страниц ресурса, связанная с модулем Market Focus. До этого на web-сайте рейтингового агентства ни разу не обнаруживались подобные уязвимости.

На момент написания статьи брешь не была исправлена. Это означает, что злоумышленник может проэксплуатировать уязвимость и осуществить XSS-атаку на пользователей ресурса, в результате чего киберпреступники смогут похитить персональные или платежные данные пользователей портала. Также вероятна кража cookie-файлов с целью выдачи себя за легитимного пользователя, логинов и паролей жертв и истории их браузеров.

PoC-код для эксплуатации бреши выглядит следующим образом:

https://www.fitchratings.com/jsp/marketfocus/marketFocusLauncher.faces?marketFocusArea=qqqq'+alert(/xssposed/)+

Интересно, что уязвимость была обнаружена вскоре после того, как агентство снизило кредитный рейтинг Российской Федерации с «ВВВ» (достаточный уровень кредитоспособности) на «ВВВ-» (достаточный уровень кредитоспособности с тенденцией к снижению). Причиной для снижения рейтинга стал обвал рубля, вызванный сильнейшим понижением цены на нефть и санкциями стран Запада, а также резкое повышение ключевой ставки Центробанка РФ до 17%.


  Источник: securitylab.ru
 



Поделиться с друзьями:


Другие новости по теме
 
Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
 

Комментарии

Добавление комментария
Ваше имя
Ваш Email
Код Включите эту картинку для отображения кода безопасности
обновить код
Введите код