Главная » Новости » 2015 » 02 » 06 6 февраля 2015

XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты

На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.

Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».

Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.

Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:

Header always append X-Frame-Options SAMEORIGIN

Для nginx:

add_header X-Frame-Options SAMEORIGIN;

Для IIS:

<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>

При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).

Источник: Positive Technologies

10:44 06.02.2015
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



февраль
Пн
Вт
Ср
Чт
Пт
Сб
Вс
2015

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.