С помощью таких уязвимостей хакеры могут вставлять в код сайта свои вредоносные скрипты, и с помощью них могут красть пользовательскую информацию или же потенциально выполнять другие вредоносные коды.
В случае с Twitter, для запуска атаки на эту уязвимость, по одним данным, пользователю достаточно было навести мышь на опасную ссылку. В тоже время по другим данным, от пользователя вообще ничего не требовалось.
Код атаки был выложен в одном из каналов IRC. Вскоре доказательства работы концепции были представлены несколькими другими пользователями. В частности некий zzap сначала просто развлекался, выводя на экраны пользователей всплывающее окно “uh oh” при наведении ими курсора на опасные сообщения, а потом обнаружил, что аналогичным образом может красть их cookie.
А всего через несколько часов хакеры уже использовали представленную возможность для запуска массивной атаки против пользователей Twitter. О чем, впрочем, сообщили сами пользователи Twitter.
Правда, в настоящее время уязвимость уже закрыта. Об этом заявили представители Twitter.
Вообще же, уязвимости XSS являются сейчас весьма распространенными. По мнению аналитической компании WhiteHat Security, специализирующейся на обнаружении уязвимостей в веб-приложениях, на любом сайте с 66-ти процентной вероятностью присутствует уязвимость XSS, которая потенциально может привести к краже пользовательских данных.
Комментарии (0)