Η γνωστή ομάδα hackers NullCrew ανακάλυψε μία μη-επίμονη ευπάθεια Cross Site scripting(XSS) στην επίσημη ιστοσελίδα της MasterCard. Το subdomain ”Mobile Payments Readiness(mobilereadiness.mastercard.com) βρέθηκε να είναι ευάλωτο σε επιθέσεις XSS.
http://mobilereadiness.mastercard.com/country-comparisons/index.php?c1=sg”>
Συνήθως, οι μη-επίμονες ή αντανακλόμενες ευπάθειες XSS θεωρούνται χαμηλού κινδύνου. Ακόμα και σκέφτηκε το επίπεδο κινδύνου εκτιμάται ως χαμηλή, όμως ακόμα και έτσι οι επιτιθέμενοι μπορούν να κλέψουν λογαριασμούς χρηστών με μία επίθεση social engineering.
Για παράδειγμα, ένας χάκερ μπορεί να ανακατευθύνει το θύμα σε κακόβουλες ιστοσελίδες phishing χρησιμοποιώντας ένα injecting redirection script στο url. Ο συγγραφέας δοκίμασε ένα script ανακατεύθυνσης, με επιτυχία αφού μπόρεσε να ανακατευθύνει σε άλλη ιστοσελίδα.
Το παραπάνω script ανακατευθύνει στο google. Ένας εισβολέας μπορεί να κατευθύνει και να παρασύρει τα θύματα σε κακόβουλες τοποθεσίες, χρησιμοποιώντας το “ασφαλές” domain της MasterCard.
Η ομάδα NullCrew έχει ανακαλύψει ευπάθεια XSS και στο Υπουργείο Εσωτερικής Ασφάλειας.
iguru.gr , ehackingnews.com
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου