Перейти к содержимому
1
1
1
1
1
Chimaira

В награду за обнаружение уязвимости на сайте Amazon эксперт получил всего лишь футболку

Recommended Posts

Специалист по безопасности не сообщил крупнейшему интернет-магазину о бреши, поскольку Amazon не вознаграждает охотников за уязвимостями. Бразильский специалист по безопасности, использующий псевдоним Brute Logic, опубликовал отчет о XSS-уязвимости на сайте Amazon, не сообщив о бреши самому интернет-магазину. Уязвимость была устранена через два дня. Все время между обнаружением и исправлением бреши на сайте злоумышленники имели возможность скомпрометировать учетные записи пользователей Amazon. Brute Logic не стал раскрывать все подробности о бреши, аргументируя это тем, что Amazon не платит за отчеты об уязвимостях. Специалист сообщил, что уязвимость позволяла злоумышленнику получить номер кредитной карты пользователя Amazon и покупать товары на его имя при условии, что жертва нажала на вредоносную ссылку. XSS-атаки используются для того, чтобы отправить вредоносный скрипт ничего не подозревающему пользователю. Обозреватель пользователя не имеет возможности определить, что полученный скрипт - из ненадежного источника, и выполняет сценарий. Вредоносный сценарий может получить доступ к любым cookie-файлам или конфиденциальной информации, сохраненной в браузере и использующейся сайтом. Подобные скрипты способны даже переписать содержимое страницы. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...