Banki podatne na XSS

Banki same dają oszustom narzędzia do ręki. Ostatnio modne stało się wykorzystywanie ataków XSS.

Netcraft pokazał przypadki gdy błędy w aplikacjach dużych zachodnich banków wyświetlały podstawioną przez złodzieja stronę... we własnej domenie.

Jako przykład pokazano Citizens Bank Online. Bank sam wyświetla stronę złodzieja ofierze.

Jest to możliwe dzięki atakom cross-side-scripting (XSS) - gdy aplikacja bankowa nie weryfikuje danych przysłanych przez użytkownika przez formularz, ten może podrzucić "kukułcze jajo", które będzie wyświetlone innym oglądającym stronę. Na przykład kod JavaScript wykradający dane z formularzy lub wyświetlający stronę ładowaną z kontrolowanego przez złodzi serwera.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.