На веб-сайте American Express в очередной раз найдены ошибки, которые могут
привести к краже учетных записей клиентов компании.
Об этом стало известно всего несколько дней спустя после появления новости о
том, что Amex в течение
двух недель подвергала своих клиентов риску не исправляя зияющую дыру в
безопасности, имевшуюся на ее сайте. Представитель Amex впоследствии заявил, что
уязвимость устранена, однако, как выясняется, это не так.
Ошибка межсайтового скриптинга (XSS), которая позволяет хакерам без особого
труда выкрасть с сайта americanexpress.com куки авторизации пользователей, все
еще существует.
Сообщить об этом уже успели по крайней мере два различных источника. Первым
внимание к этой проблеме привлек эксперт Кристиан Эрик Хермансен, выложивший
рабочий прототип кода, который демонстрирует как при помощи своего ресурса
злоумышленники могут выкрасть личные cookie с сайта americanexpress.com, которые
служат для авторизации пользователей после того, как они ввели идентификационные
данные и пароль.