Перейти к содержимому


centrcentrcentr

centrcentrcentr

centrcentr

Фотография

В награду за обнаружение уязвимости на сайте Amazon эксперт получил всего лишь футболку


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 Verdickt

Verdickt

    Продвинутый пользователь


  • Полный доступ ♔
  • 432 сообщений
  • Сделок через гарант:6

Отправлено 26 Март 2016 - 14:47

Специалист по безопасности не сообщил крупнейшему интернет-магазину о бреши, поскольку Amazon не вознаграждает охотников за уязвимостями. Бразильский специалист по безопасности, использующий псевдоним Brute Logic, опубликовал отчет о XSS-уязвимости на сайте Amazon, не сообщив о бреши самому интернет-магазину. Уязвимость была устранена через два дня. Все время между обнаружением и исправлением бреши на сайте злоумышленники имели возможность скомпрометировать учетные записи пользователей Amazon.

 

Brute Logic не стал раскрывать все подробности о бреши, аргументируя это тем, что Amazon не платит за отчеты об уязвимостях. Специалист сообщил, что уязвимость позволяла злоумышленнику получить номер кредитной карты пользователя Amazon и покупать товары на его имя при условии, что жертва нажала на вредоносную ссылку.

 

XSS-атаки используются для того, чтобы отправить вредоносный скрипт ничего не подозревающему пользователю. Обозреватель пользователя не имеет возможности определить, что полученный скрипт - из ненадежного источника, и выполняет сценарий. Вредоносный сценарий может получить доступ к любым cookie-файлам или конфиденциальной информации, сохраненной в браузере и использующейся сайтом. Подобные скрипты способны даже переписать содержимое страницы. 


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных