На прошлой неделе на сайтах трех британских компаний были обнаружены
примечательные сетевые уязвимости.
В этот раз со спущенными штанами застали сайты банков HSBC и Barclays Group,
а также основной веб-портал газеты The Telegraph. Хакеры опубликовали скриншоты,
свидетельствующие о том, что все три ресурса уязвимы к атакам, способным нанести
вред безопасности их посетителей.
Так, ошибки в межсайтовом скриптинге на сайте HSBC по состоянию на поздний
вечер вчерашнего дня еще не были устранены, хотя с момента
публикации на блоге XSSed прошло уже более двух суток. Баг позволяет
атакующим размещать на сайтах HSBC скрипты JavaScript и другой контент, обманным
путем заставляя пользователя кликнуть по особым образом составленному сетевому
адресу.
Скриншот, который ты видишь на экране, демонстрирует сайт HSBC,
предназначенный для пользователей из Гонконга. Благодаря ошибкам в его структуре
исследователям с блога XSSed удалось разместить в окне браузера свою собственную
статью и баннер. На сайте Barclays обнаружен аналогичный баг, однако к вечеру
понедельника ошибка уже была устранена.
Практически одновременно с отчетом XSSed сайт
HackersBlog опубликовал детали уязвимости к SQL-инъекциям, которую команда
его хакеров обнаружила на портале газеты The Telegraph. Баг особенно серьезен по
той причине, что злоумышленники имели возможность получить доступ к важным
системным файлам.
Добавим лишь, что по словам Джеремии Гроссмана из WhiteHat Security, более
двух третей сайтов имеют хотя бы одну уязвимость к межсайтовому скриптингу, a
минимум 16 из тысячи самых популярных ресурсов подвержены уязвимостям к
SQL-инъекциям.
