XSS – уразливість нульового дня в Internet Explorer дозволяє атакувати будь-які сайти


 
На цьому тижні з’явилася інформація про появу раніше невідомої уразливості міжсайтового скриптинга в Microsoft Internet Explorer. Використовуючи цю помилку , віддалений користувач може впровадити в HTML- сторінку довільний JavaScript- сценарій в обхід політики єдності походження практично на будь-якому сайті .

Дослідники з deusen.co . uk , розмістивши PoC -код експлойта , продемонстрували експлуатацію вразливості на сайті першій за величиною тиражу щоденної газети Великобританії « Daily Mail » www.dailymail.co.uk . При натисканні на спеціально сформовану посилання користувач перенаправляється на сайт dailymail.co.uk , після чого йому виводиться повідомлення « Hacked by Deusen ».
 
 
Уразливість присутня в Internet Explorer 10.x і 11.x. Детальний опис уразливості доступно за цією адресою. Експерти Positive Technologies відзначають, що в мережі вже з’явилося кілька прикладів використання уразливості , з яких видно, що під загрозою знаходяться безліч сайтів, включаючи критичних ресурси .
Щоб захиститися , необхідно заборонити сторонні iframe за допомогою опції заголовка X – Frame – Options , що відправляється web – сервером. Для Apache настройка в . htaccess буде виглядати так:
Header always append X – Frame – Options SAMEORIGIN
Для nginx :
add_header X – Frame – Options SAMEORIGIN ;
Для IIS : webServer
Positive Technologies

Оставить комментарий

Ваш email не будет опубликован. Обязательные поля отмечены *

Вы можете использовать это HTMLтеги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>