Найдены XSS-уязвимости на ресурсах Moody's и ЛАНИТ

3a28218fd0102334c98da922003515f3

Международное рейтинговое агентство Moody’s является одним из самых популярных во Всемирной паутине, поэтому хакерская деятельность на его официальном ресурсе не является редкостью. Ранее уже неоднократно поступала информация о том, что в защите была обнаружена ещё одна пробоина. Теперь ИБ-специалисты нашли уязвимость, которая могла позволить злоумышленниками произвести целевую XSS-атаку на портал. Длительное время ресурс moodys.com оставался фактически беззащитным, поскольку администрация очень медленно исправляла найденный недостаток. Более того, на сайте не появилось ни одной заметки об этом.

Аналогичная брешь обнаружена мониторинговым центром на ресурсе commerce.lanit.ru, принадлежащем отечественной группе компаний ЛАНИТ. Деятельность этих предприятий охватывает десятки тысяч клиентов по всей территории России и СНГ, поэтому работоспособность сайта может быть критически важной для эффективного ведения бизнеса. Отдел безопасности ЛАНИТ своевременно предпринял необходимые действия, поэтому в январе заплатка была выпущена. Ныне сайт атаковать через XSS описанными в отчёте способами не удастся.

Ресурс xssposed.org собирает информацию о наличии свежих обновлений и исправлений. Пользователям рекомендуется периодически посещать его перед тем, как оставлять на сайтах конфиденциальные сведения. Вероятность кражи всегда присутствует, но своевременные действия IT-отдела зачастую позволяют помешать этому. Что касается XSS-уязвимостей, гипотетически они позволяли бы воровать куки-файлы из браузера, просматривать введённые пользовательские пароли, собирать информацию о платёжных системах, если подобные сведения были оставлены посетителем ресурса. Вся база данных становилась как на ладони, оставалась и вероятность исполнения произвольного программного кода на целевой системе. Учитывалась и история просмотров по внутреннему древу каталогов. Для проведения атак применяется сложная социальная инженерия, либо банальный почтовый фишинг.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.