Поделиться
Погода с сюрпризом: вредоносный код на Weather Channel
Популярный кабельный канал The Weather Channel распространял вредоносные скрипты. Более 76% ведущих на его интернет-ресурс ссылок были потенциально опасными для посетителей сайта, выяснил сингапурский аспирант с помощью самодельного софта.Популярный американский кабельный канал The Weather Channel, предлагающий аудитории прогнозы погоды, метеорологическую аналитику, документальное кино по теме и др., оказался разносчиком вредоносного кода. Обнаружил проблему аспирант сингапурского Nanyang Technological University Ванг Джин (Wang Jin), о чем он и сообщил администраторам ресурса.
Ванг Джин использовал софт собственной разработки для мониторинга безопасности. Оказалось, что 76,3% ссылок на The Weather Channel содержали скрипты для выполнения XSS-атак, когда при открытии веб-страницы на компьютере пользователя запускается внедренный в нее злоумышленниками вредоносный код. В любой момент посетители сайта могли подвергнуться нападению. По мнению исследователя, ресурс The Weather Channel использовал URL-адреса для создания тегов без проверки и фильтрации, что и стало причиной произошедшего. Уязвимости, которые привели к заражению десятков тысяч ссылок, были устранены в конце ноября. По данным Nielsen за 2013 г., у канала The Weather Channel было около 100 млн подписчиков.
В настоящий момент как в коммерческом, так и в государственном секторах наблюдается тренд на перевод ИТ-сервисов в интернет для доступности услуг внешним пользователям. По мнению Дениса Хлапова, руководителя направления отдела консалтинга «Информзащиты», в связи с этим многократно повышаются риски атак злоумышленников. Разработчики, которые привыкли создавать веб-сервисы для внутреннего использования, далеко не всегда уделяют должное внимание методам безопасной разработки приложений для внешних ресурсов.
«Мы собирали статистику за 2012 г. при проведении тестов на проникновение: как выяснилось, XSS-уязвимости были обнаружены в 43% всех тестов, то есть в каждом втором, — рассказывает эксперт. — Если посмотреть топ-10 уязвимостей по версии OWASP, открытого проекта обеспечения безопасности веб-приложений, то XSS-уязвимости в 2013 г. расположились на третьей строчке. Эта статистика говорит о том, что они очень распространены, но им не уделяют должного внимания. И, как оказывается, напрасно».
По данным некоммерческого проекта xssposed.org, в 2014 г. XSS-уязвимости были обнаружены на таких сайтах как oracle.com, esquire.com, toyota.com, а также в ряде крупных отечественных веб-ресурсов, продолжает список инцидентов Денис Хлапов. Наиболее эффективным путем снижения количества XSS-уязвимостей, по мнению эксперта, является системный подход к обеспечению безопасности веб-приложений, а именно — использование безопасных методов разработки. Например, учет рекомендаций OWASP, а также периодическое сканирование ресурсов и проведение тестов на проникновение.
Короткая ссылка
