Antivirus VBA32 VirusBlokAda / Антивирус VBA32 ВирусБлокАда / НОВОСТИ БЕЗОПАСНОСТИ Уязвимость на сайте American Express позволяет злоумышленникам получить доступ к кредитным картам eng Главная Обратная связь Поиск Карта сайта

ПОИСК ПО САЙТУ
ЛИЧНЫЙ КАБИНЕТ
Логин:
Пароль:


НОВОСТИ
12.12.2008
Акция «ВСЕМ ПО ПЯТЕРКЕ!»
Подробнее
09.10.2008
ООО "ВирусБлокАда" на выставке Infosecurity Russia 2008
Подробнее
04.09.2008
Комплекс антивирусных программ VBA32 сертифицирован ФСТЭК России!
Подробнее
01.09.2008
Компания «ВирусБлокАда» приглашает на выставку Infosecurity Russia 2008.
Подробнее
26.08.2008
VBA32 получил сразу две золотые награды
Подробнее

 

НОВОСТИ БЕЗОПАСНОСТИ Уязвимость на сайте American Express позволяет злоумышленникам получить доступ к кредитным картам

19.12.2008 Уязвимость на сайте American Express позволяет злоумышленникам получить доступ к кредитным картам
Межсайтовый скриптинг (Cross-site scripting или XSS) является одной из самых распространенных уязвимостей в Web приложениях. Присутствующая XSS уязвимость на сайте americanexpress.com позволяет атакующему перехватывать данные, используемые для аутентификации и входить на сайт с привилегиями другого пользователя. Дальнейшая эксплуатация уязвимости позволяла злоумышленнику получить доступ к счету целевого пользователя. Об этой уязвимости сообщил Рас Макри (Russ McRee).

Макри пытался связаться с компанией American Express на протяжении двух недель, но так и не получил ни одного ответа на свои письма. Стоит учитывать, что American Express является членом Payment Card Industry Security Standards Council, в стандартах которого упоминается необходимость защиты Web-приложений в том числе и от XSS.
Как сообщает TheRegister, уязвимость была исправлена через час после публикации новостного сообщения в СМИ. К сожалению это не совсем корректная информация. Уязвимость существует в настоящий момент несколько в другой реализации:
http://search.americanexpress.com/amex/?q=now",updateElement:customUpdateElement});alert('xss');
Демонстрацию предыдущей реализации уязвимости можно посмотреть на виде по адресу: http://holisticinfosec.org/video/online_finance/amex.html
Макри также обнаружил несколько XSS уязвимостей в популярной социальной сети Facebook, которые были устранены в течении часа после публикации сообщения.
SecurityLab отправил сообщение о наличии уязвимости администрации сайта American Express. Надеемся, что нам повезет больше чем Расу Макри и уязвимость будет устранена в более короткие сроки.

Securitylab

 

 

КОНТАКТЫ

127106 г. Москва, ул. Гостиничная, д. 10, корп. 5
Тел: +7 (495) 221-21-07
E-mail: [email protected]

Система электронных платежей      Rambler's Top100   

Для персонального компьютера Для рабочей станции в сети Для файловых серверов Автоматизированное управление и обновление Защита почтовых систем Защита интернет-шлюзов Способы оплаты
Антивирус Бета-версии
Кратко Лицензии и сертификаты Наши награды Клиенты Партнеры Дилерам
Разработка ПО
Новости компании Продукты и обновления Новости безопасности Пресс-кит Подписка на рассылку