Группа компаний Angara развивает новое направление анализа защищенности и уже помогла виджету JivoSite снизить риск атак

Эксперты отдела анализа защищенности группы компаний Angara помогли распространенному виджету обратной связи с клиентом Jivosite устранить опасную уязвимость в своем ПО, позволяющую выполнить атаку Self DOM-based XSS (Cross-Site Scripting, XSS), в результате чего возможно получение сессионных данных пользователя контроля над его аккаунтом на сайте или клиентским браузером. 

Производитель ПО JivoSite совместно с группой компаний Angara оперативно устранили уязвимость и уберегли своих клиентов от потенциальных атак по данному вектору. 

DOM-based XSS — это разновидность межсайтового скриптинга. Суть атаки DOM-based XSS заключается в использовании недостатков программного интерфейса разметки Document Object Model для исполнения вредоносного кода в браузере клиента на уязвимом сайте. Для реализации атаки злоумышленник использует методы социальной инженерии. Например, представившись специалистом технической поддержки, убеждает жертву перейти по ссылке, содержащей вредоносный код. При таком типе атаки нет внешних подозрительных изменений — но файлы cookie пользователя отправляются на сервер, подконтрольный злоумышленнику, после чего мошенник, используя перехваченные данные, получает доступ к личному аккаунту пользователя. 

«Межсайтовый скриптинг является одним из наиболее опасных типов атак и прочно занимает место в OWASP Top-10. В нашей работе мы зачастую сталкиваемся с уязвимостями, позволяющими провести такие атаки, и всегда стараемся донести до владельца ресурса критичность таких находок. Мы рады, что команда JivoSite понимает важность такой находки, и, после нашего обращения, в кратчайшие сроки исправила найденный нами недостаток.», — прокомментировал руководитель отдела анализа защищенности Angara Technologies Group Сергей Гилев.

«Слаженная работа экспертов группы компаний Angara и разработчиков JivoSite позволила оперативно выявить и устранить уязвимость в ПО и предотвратить возможность проникновения через виджет для чата. Сейчас все наши клиенты автоматически получили обновленную версию приложения. Благодарим команду отдела анализа защищенности группы компаний Angara за помощь», — добавил технический директор Jivosite Николай Иванников.

Эксперты группы компаний Angara для снижения риска проведения атак XSS рекомендуют обрабатывать и корректно фильтровать данные, поступающие от пользователя в веб-приложение, осуществляя кодирование в HTML-сущности или экранирование потенциально опасных символов языка HTML. Также рекомендуется проводить регулярный анализ безопасности веб-приложений и использовать средства защиты, такие как WAF (web application firewall).

____

JivoSite — чат для сайта и инструмент для общения с клиентами в социальных сетях, мессенджерах и мобильных приложениях. 

Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.

Другие публикации

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Кибердетективы и «белые хакеры»: кто противостоит нарастающей киберугрозе

В интервью для РБК-Нижний Новгород генеральный директор Angara Security Сергей Шерстобитов рассказал, в каких отраслях наиболее высок спрос на ИБ-специалистов.


07.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах