Администраторы сайта Amazon.com во вторник закрыли уязвимость, которая
позволяла нападавшим красть с сайта этого популярного электронного магазина
логины клиентов.
Баг, связанный с межсайтовым скриптингом (XSS) на
Amazon Wireless,
помогал атакующим перехватывать идентификаторы сессий, используемых для
получения доступа к аккаунтам пользователей после ввода пароля. Атака позволяла
получать логины клиентов, кликнувших по
такой ссылке после авторизации на главной странице Amazon.com.
Брешь была обнаружена Ниром Голдшлагером из компании Avnet и устранена через
12 часов после того, как СМИ привлекли к ней внимание специалистов по
безопасности Amazon.
