Banki podatne na XSS
- Paweł Krawczyk,
- 11.03.2005, godz. 12:00
Banki same dają oszustom narzędzia do ręki. Ostatnio modne stało się wykorzystywanie ataków XSS.
Netcraft pokazał przypadki gdy błędy w aplikacjach dużych zachodnich banków wyświetlały podstawioną przez złodzieja stronę... we własnej domenie.
Jako przykład pokazano Citizens Bank Online. Bank sam wyświetla stronę złodzieja ofierze.
Jest to możliwe dzięki atakom cross-side-scripting (XSS) - gdy aplikacja bankowa nie weryfikuje danych przysłanych przez użytkownika przez formularz, ten może podrzucić "kukułcze jajo", które będzie wyświetlone innym oglądającym stronę. Na przykład kod JavaScript wykradający dane z formularzy lub wyświetlający stronę ładowaną z kontrolowanego przez złodzi serwera.