8 декабря 2014 года специалист по безопасности El337 сообщил об XSS-уязвимости на популярном сайте uber.com, который предоставляет услуги автоперевозок. Компания Uber оценивается в миллиарды долларов и открывает филиалы в разных странах мира, а вот исправить баг руки не доходят.

Непропатченная уязвимость подвергает посетителей и администраторов сайта риску быть скомпрометированными посторонним злоумышленником. В результате XSS-атаки можно извлечь куки, персональную информацию, учётные данные для доступа на сайт, историю сёрфинга и другую ценную информацию.

В последнее время XSS-атаки становятся всё сложнее и чаще используются вместе с фишингом, социальной инженерией и атаками drive-by, сообщается на сайте каталога эксплоитов XSSposed.com.

Для проверки уязвимости следует набрать URL типа такого:

WARNING

https://get.uber.com/go/DELHIMAMA&name=forum’+alert(‘xssposed’)+’

«Они там IPO на $50 млрд анонсировали, а банальное XSS попатчить не могут», — прокомментировал ситуацию Илья Колошенко из компании High-Tech Bridge.



3 комментария

  1. 09.12.2014 at 15:28

    этож такси ёмоё

  2. 09.12.2014 at 15:44

    Они там IPO на $50 млрд анонсировали, а банальное XSS попатчить не могут

    А одно с другим не связано.

Оставить мнение