Хакер опубликовал код для кражи банковских данных

21.12.2011

«Дыры» межсайтового скриптинга (XSS) дает возможность «специалистам» контролировать содержание уязвимого, но все еще доверенного сайта, передавая критическую информацию киберпреступникам.
Никлас Фемерстранд обнаружил в октябре 2011, что механизм отладки сайта American Express был уязвим к такого рода уязвимости. Следовательно, он разработал так называемый "XSS на стероидах"-скрипт, исследовав похожую уязвимость на сайте одного из шведских банков.

-Я создал такой код, который определяет свое собственное наличие и локально инфицирует полезной нагрузкой все ссылки веб-сайта для посетителя. В этом случае непостоянный XSS становится постоянным для него. Он также следит за поведением пользователя и отправляет интересную информацию хакеру (логины, пароли, информацию о кредитной карте)", - цитирует его слова Хакер. ру.

При этом, хакер опубликовал свой код на одном из интернет сайте.

Рик Фергюсон, директор по исследованию безопасности и коммуникациям в Trend Micro, подтвердил, что скрипт, разработанный Ферестрандом, представляет собой большую опасность, нежели предполагается, но есть вопросы по поводу того, являются ли идеи хакера новаторскими. Фергюсон сказал, что эта техника существовала уже какое-то время и была внедрена в beefproject.com.

Источник: infobank.by