Уязвимость на сайте American Express подвергала клиентов серьезному риску
безопасности до того, как гигант в области кредитных карт не заблокировал часть
своего сайта в четверг днем.
Исследователь Никлас Фемерстранд заявил, что проблема возникла из-за
debug-режима, в котором по непонятным причинам работал сайт americanexpress.com.
Это предоставляло возможность доступа к уязвимым средствам отладки. Уязвимость в
безопасности создала возможность сбора аутентификационных куки пользователей,
говорит Фемерстранд.
Компания American Express сообщила, что проблема была найдена на тестовой
странице, которую она заблокировала в четверг днем. В сообщении, адресованном
Financial News Network, она подчеркнула, что клиентская информация не
подвергалась риску.
Фемерстранд
опубликовал свое "открытие" в среду – в сообщении с POC иллюстрацией
уязвимости – после того, как он попытался сообщить о баге непосредственно
гиганту, работающему с кредитными картами.
"Средство отладки уязвимо перед XSS", - сообщил он.
"Окно отладки обновляет само себя, так что внедренный код, который не
разрывает цикл, будет выполняться бесконечно. Злоумышленник может внедрить
cookie stealer в сочетании с jQuery .hide() и заполучить куки – которые, как ни
странно, могут быть использованы при помощи админ-панели, предоставляемой
неаккуратными разработчиками American Express".
Фемерстранд в четверг сообщил, что уязвимость все еще присутствовала на сайте
спустя несколько часов после того, как он ее обнародовал.