Уязвимость к межсайтовому скриптингу на сайте American Express может
использоваться для фишинга. XSS - результат неправильной проверки вводимой в
формы информации и ошибка позволяет атакующему внедрить потенциально опасный код
в броузер посетителя.
На самом деле правильная проверка передаваемых через формы данных - одно из
условий сертификации
Payment Card Industry Data Security Standard (PCI-DSS) для защиты от
SQL-инъекций и межсайтового скриптинга.
Обнаруженная ошибка находится на самом сайте americanexpress.com и была
обнаружена участником XSSed Project под именем SeeMe.
"Уязвимая страница использует Verisign Extended Validation SSL сертификат,
который удостоверяет то, что пользователь просматривает сайт именно American
Express. Так что можно предположить, что скрипты, исполняющиеся на сайтах,
защищенных сертификатами, будут удачно использоваться для фишинга или других
нападений", - говорит один из участников XSSed.
Вариантов нападения с использование такого XSS существует несколько. Например
можно внедрить на сайт поддельный iframe или перенаправить пользователя на
сторонний сайт. В обоих случаях содержание, предлагаемое взломщиком, будет
принято пользователем за часть настоящего сайта American Express.