Погода с сюрпризом: вредоносный код на Weather Channel

B2BSecurity
Популярный кабельный канал The Weather Channel распространял вредоносные скрипты. Более 76% ведущих на его интернет-ресурс ссылок были потенциально опасными для посетителей сайта, выяснил сингапурский аспирант с помощью самодельного софта.

Популярный американский кабельный канал The Weather Channel, предлагающий аудитории прогнозы погоды, метеорологическую аналитику, документальное кино по теме и др., оказался разносчиком вредоносного кода. Обнаружил проблему аспирант сингапурского Nanyang Technological University Ванг Джин (Wang Jin), о чем он и сообщил администраторам ресурса.

Ванг Джин использовал софт собственной разработки для мониторинга безопасности. Оказалось, что 76,3% ссылок на The Weather Channel содержали скрипты для выполнения XSS-атак, когда при открытии веб-страницы на компьютере пользователя запускается внедренный в нее злоумышленниками вредоносный код. В любой момент посетители сайта могли подвергнуться нападению. По мнению исследователя, ресурс The Weather Channel использовал URL-адреса для создания тегов без проверки и фильтрации, что и стало причиной произошедшего. Уязвимости, которые привели к заражению десятков тысяч ссылок, были устранены в конце ноября. По данным Nielsen за 2013 г., у канала The Weather Channel было около 100 млн подписчиков.

В настоящий момент как в коммерческом, так и в государственном секторах наблюдается тренд на перевод ИТ-сервисов в интернет для доступности услуг внешним пользователям. По мнению Дениса Хлапова, руководителя направления отдела консалтинга «Информзащиты», в связи с этим многократно повышаются риски атак злоумышленников. Разработчики, которые привыкли создавать веб-сервисы для внутреннего использования, далеко не всегда уделяют должное внимание методам безопасной разработки приложений для внешних ресурсов.

«Мы собирали статистику за 2012 г. при проведении тестов на проникновение: как выяснилось, XSS-уязвимости были обнаружены в 43% всех тестов, то есть в каждом втором, — рассказывает эксперт. — Если посмотреть топ-10 уязвимостей по версии OWASP, открытого проекта обеспечения безопасности веб-приложений, то XSS-уязвимости в 2013 г. расположились на третьей строчке. Эта статистика говорит о том, что они очень распространены, но им не уделяют должного внимания. И, как оказывается, напрасно».

По данным некоммерческого проекта xssposed.org, в 2014 г. XSS-уязвимости были обнаружены на таких сайтах как oracle.com, esquire.com, toyota.com, а также в ряде крупных отечественных веб-ресурсов, продолжает список инцидентов Денис Хлапов. Наиболее эффективным путем снижения количества XSS-уязвимостей, по мнению эксперта, является системный подход к обеспечению безопасности веб-приложений, а именно — использование безопасных методов разработки. Например, учет рекомендаций OWASP, а также периодическое сканирование ресурсов и проведение тестов на проникновение.

Короткая ссылка на материал: //cnews.ru/link/n218314
ИСТОРИЯ УСПЕХА
Контроль и защита всей IT-инфраструктуры
Защита СХД: варианты и реальные примеры решений
Подробнее
ИНТЕРВЬЮ С ЭКСПЕРТОМ
Матвей Войтов
менеджер по продуктам «Лаборатории Касперского»

ИБ должна присутствовать среди расходов на виртуализацию.

читать далее
Все интервью
MНЕНИЕ Константин Воронков Руководитель отдела Endpoint «Лаборатории Касперского» Клиенты могут получать необходимые лицензии практически мгновенно Ожидается, что на общественное обсуждение в Госдуме будет вынесен законопроект, согласно которому обеспечение безопасного доступа пользователей в сеть ляжет на плечи интернет-провайдеров, операторов связи, хостинг-провайдеров и владельцев интернет-сайтов. Ранее же данное условие не носило обязательный характер для частных компаний, а теперь от сервис-провайдеров потребуются принять дополнительные меры в рамках установки антивирусного ПО — вопрос с покупкой лицензий становится для него как никогда актуальным.