Security Lab

XSS

XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.

Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.

Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.

Промышленный Wi-Fi трещит по швам: что нужно знать об уязвимостях Advantech

Простые ошибки, ведущие к катастрофическим последствиям.

Срочно проверьте ПО: CISA и ФБР начинают борьбу против XSS

Предложение ведомств призвано улучшить безопасность новых версий программ.

Критические уязвимости в MLOps: 20+ векторов атак на ИИ-модели

Исследователи обнаружили более 20 слабых мест в платформах машинного обучения.

OAuth и XSS: смертельный коктейль для безопасности веб-гигантов

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации.

От макросов к MSC: хакеры Kimsuky осваивают новую технику шпионажа

Действия Microsoft вынудили Северную Корею использовать системные файлы для атак на Windows.

GrimResource: безобидный файл MSC стал троянским конем в Windows

Отключение макросов в Office привело к очередной лазейке для незаметного взлома.

Поддельные администраторы и межсайтовый скриптинг: хакеры берут сайты на WordPress штурмом

Кибербандиты массово внедряют бэкдоры в файлы плагинов и тем оформления.

Не ждите, пока ваш аккаунт взломают: CVE-2024-4835 касается каждого разработчика

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.

Исправляйте до релиза: Path Traversal – главный враг разработчиков

CISA и ФБР призывают к срочным мерам по защите кода.

Открыты для хакеров: SilkSecured бросает вызов суверенитету Китая

Как халатность властей КНР ставит под удар безопасность граждан.

5 ошибок Joomla: разработчики CMS позволяют хакерам взломать ваш сайт

Joomla играет в догонялки с хакерами, срочно исправляя уязвимости.

За кулисами кибервойны: как взламываются посольства и правительства

Recorded Future раскрывает деятельность хакеров, отслеживающих политическую отрасль Европы.

OpenAI признала: GPT-4 может самостоятельно взломать любой сайт

GPT-4 лучше и дешевле пентестеров в поиске уязвимостей.

CVE-2023-43770: уязвимость Roundcube превращает вашу приватную переписку в открытую книгу

CISA бьет тревогу: федеральные структуры обязаны разобраться с проблемой до 4 марта.

Не игнорируйте обновления: Cisco, Fortinet и VMware предотвратили утечки данных в своих продуктах

Новые исправления уязвимостей направлены на защиту данных и предотвращению взлома.

«ResumeLooters» против соискателей: как найти работу, не лишившись личных данных

Использование SQL-инъекции и XSS стало главным оружием в руках злоумышленников.

CVE-2024-23897: захват сервера Jenkins с помощью одного символа

Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами.

Безопасность 150 000 WordPress-сайтов под вопросом из-за уязвимостей в популярном плагине

Обход авторизации и межсайтовый скриптинг ставят под угрозу конфиденциальность данных.

Command Injection в pfSense: хакеры могут выполнить удаленный код на брандмауэрах

Программное обеспечение для защиты сетей внезапно само стало источником проблем с безопасностью.

Плагин AMP превратил сайты WordPress в площадку для вредоносной рекламы

Исправленная ошибка использовала посетителей сайта как индикатор активации скрипта.