Хакеры организовали регулярную
публикацию названий сайтов, имеющих XSS-уязвимость
(уязвимости, позволяющие проводить кросс-сайт
скриптинг атаки). В списке ресурсов,
упомянутых на форуме Sla.ckers.org, фигурируют
сайты Dell, HP, MySpace, Photobucket и даже ресурсы
компаний, предоставляющих услуги в области
информационной безопасности — F5 и Acunetix.
«Я полагаю, они просто просматривают сайт
за сайтом, находят в них бреши и размещают
информацию о них в форуме», — говорит
технический директор компании White Hat Security
Джеремия Гроссман (Jeremiah Grossman). По его словам,
в последние дни на форуме Sla.ckers.org
наблюдается невиданная прежде активность,
связанная с сообщениями о кросс-сайт
скриптинге. Гроссмана удивляет публичность
этих сообщений и то, что они касаются «настоящих,
живых сайтов».
Хакеры размещают также и общий базовый
код, с помощью которого можно
воспользоваться XSS-уязвимостью. Впрочем,
пока ничего опасного и вредного, связанного
с этими публикациями, не произошло. В
настоящее время кросс-сайт скриптинг
превзошел по популярности другой вид атаки
— переполнение буфера.
По мнению Гроссмана, сообщения на форуме
Sla.ckers.org, который посещают хакеры,
разработчики и исследователи, не являются
следствием объединенных или направленных
на конкретную цель усилий. Рост числа
сообщений об XSS-уязвимостях всего лишь
отражает тот факт, что они стали привлекать
больше внимания. «Теперь каждый хочет
видеть, где можно найти эти уязвимости. В
данный момент, не похоже, что плохие парни
пытаются воспользоваться этими
уязвимостями и нанести какой-то ущерб.
Однако если эти парни лишь
экспериментируют и в массовом порядке
публикуют сведения об этих уязвимостях,
можно только представлять, что делают
настоящие преступники», — рассказывает
Гроссман, пытающийся информировать
компании-потенциальные жертвы.
Многие компании имеют большое количество
сайтов и должны искать уязвимости в них, а
также в серверных платформах и устранять
эти уязвимости. Однако многие веб-разработчики
не уделяют должного внимания вопросам
безопасности. Они создают сайты, которые
хорошо выглядят, но при этом не имеют
навыков, которые позволяют обезопасить веб-ресурсы
от разных типов атак.