На web-сайтах Альфа-банка обнаружены XSS-уязвимости

Сегодня, 2 марта, исследователь безопасности под псевдонимом yarbabin сообщил об XSS-уязвимостях,  обнаруженных  на принадлежащих Альфа-банку web-сайтах market.alfabank.ru и job.alfabank.ru. За все время  существования  ресурса job.alfabank.ru специалистами были выявлены 2 XSS-уязвимости, пока ни одна из них не исправлена.

Уязвимый URL market.alfabank.ru:

http://www.market.alfabank.ru/search/?q=lol"><script>alert('XSSPOSED') </script>

Уязвимый URL job.alfabank.ru:

http://job.alfabank.ru/moskva/vacancies/search-result/?filter[%NAME]=l ol"><script>alert('XSSPOSED')</script>

На момент написания новости бреши еще не были исправлены, тем самым подвергая пользователей, посетителей и администраторов вышеуказанных ресурсов риску компрометации злоумышленниками. Похищение cookie-файлов, персональных сведений, учетных данных и истории браузера являются, пожалуй, наименее опасными последствиями XSS-атак.