Межсайтовый скриптинг на сайте American Express

Уязвимость на сайте American Express подвергала клиентов серьезному риску безопасности до того, как гигант в области кредитных карт не заблокировал часть своего сайта в четверг днем.

American-Express-credit-c-001Исследователь Никлас Фемерстранд заявил, что проблема возникла из-за debug-режима, в котором по непонятным причинам работал сайт americanexpress.com. Это предоставляло возможность доступа к уязвимым средствам отладки. Уязвимость в безопасности создала возможность сбора аутентификационных куки пользователей, говорит Фемерстранд.

Компания American Express сообщила, что проблема была найдена на тестовой странице, которую она заблокировала в четверг днем. В сообщении, адресованном Financial News Network, она подчеркнула, что клиентская информация не подвергалась риску.

Фемерстранд опубликовал свое "открытие" в среду – в сообщении с POC иллюстрацией уязвимости – после того, как он попытался сообщить о баге непосредственно гиганту, работающему с кредитными картами.

"Средство отладки уязвимо перед XSS", - сообщил он.

"Окно отладки обновляет само себя, так что внедренный код, который не разрывает цикл, будет выполняться бесконечно. Злоумышленник может внедрить cookie stealer в сочетании с jQuery .hide() и заполучить куки – которые, как ни странно, могут быть использованы при помощи админ-панели, предоставляемой неаккуратными разработчиками American Express".

Фемерстранд в четверг сообщил, что уязвимость все еще присутствовала на сайте спустя несколько часов после того, как он ее обнародовал.