8 декабря 2014 года специалист по безопасности El337 сообщил об XSS-уязвимости на популярном сайте uber.com, который предоставляет услуги автоперевозок. Компания Uber оценивается в миллиарды долларов и открывает филиалы в разных странах мира, а вот исправить баг руки не доходят.
Непропатченная уязвимость подвергает посетителей и администраторов сайта риску быть скомпрометированными посторонним злоумышленником. В результате XSS-атаки можно извлечь куки, персональную информацию, учётные данные для доступа на сайт, историю сёрфинга и другую ценную информацию.
В последнее время XSS-атаки становятся всё сложнее и чаще используются вместе с фишингом, социальной инженерией и атаками drive-by, сообщается на сайте каталога эксплоитов XSSposed.com.
Для проверки уязвимости следует набрать URL типа такого:
WARNING
https://get.uber.com/go/DELHIMAMA&name=forum'+alert('xssposed')+'«Они там IPO на $50 млрд анонсировали, а банальное XSS попатчить не могут», — прокомментировал ситуацию Илья Колошенко из компании High-Tech Bridge.
