Как сообщил на блоге Holistic Security эксперт в области безопасности Расс
Мак Ри, межсайтовый скриптинг на сайте americanexpress.com позволял хакерам
красть cookie аутентификации, которые использовались для авторизации клиентов
American Express после введения ими данных своих логинов. В зависимости от
конфигурации сайта, злоумышленники могли использовать эти cookie для доступа к
различным частям пользовательских аккаунтов.
Мак Ри был вынужден выставить
здесь на всеобщее обозрение грязное белье American Express после двух недель
безуспешных попыток достучаться до сотрудников компании, причем он не получил
никакого ответа как от рядовых исполнителей, так и от директора департамента
информационной безопасности Amex.
Уязвимость межсайтового скриптинга на сайте Amex (не проверялся параметр "q",
передаваемый в поиск), вдобавок к компрометации пользовательских cookie,
позволяла хакерам создавать поддельные веб-страницы и осуществлять фишинговые
атаки, а также внедрять вредоносный код при помощи iFrame. Примеры:
http://find.americanexpress.com/search?q=%22%3E%3Cscript%20src=http://holisticinfosec.org/js/warning.js%3E%3C/script%3E
http://find.americanexpress.com/search?q=%22%3E%3Ciframe%20src=http://www.visa.com%3E
Стоит заметить, что для отражения атак с использованием XSS прекрасно
подходит плагин NoScript для Firefox. Internet Explorer 8, который сейчас
находится в стадии бета-тестирования, также будет иметь в своем составе подобный
инструментарий. По самой последней информации, в Amex все же закрыли найденную
на сайте дыру, однако Мак Ри успел
задокументировать ее на этом видео.
