Эксперты отдела анализа защищенности группы компаний Angara помогли распространенному виджету обратной связи с клиентом Jivosite устранить опасную уязвимость в своем ПО, позволяющую выполнить атаку Self DOM-based XSS (Cross-Site Scripting, XSS), в результате чего возможно получение сессионных данных пользователя контроля над его аккаунтом на сайте или клиентским браузером.
Производитель ПО JivoSite совместно с группой компаний Angara оперативно устранили уязвимость и уберегли своих клиентов от потенциальных атак по данному вектору.
DOM-based XSS — это разновидность межсайтового скриптинга. Суть атаки DOM-based XSS заключается в использовании недостатков программного интерфейса разметки Document Object Model для исполнения вредоносного кода в браузере клиента на уязвимом сайте. Для реализации атаки злоумышленник использует методы социальной инженерии. Например, представившись специалистом технической поддержки, убеждает жертву перейти по ссылке, содержащей вредоносный код. При таком типе атаки нет внешних подозрительных изменений — но файлы cookie пользователя отправляются на сервер, подконтрольный злоумышленнику, после чего мошенник, используя перехваченные данные, получает доступ к личному аккаунту пользователя.
«Межсайтовый скриптинг является одним из наиболее опасных типов атак и прочно занимает место в OWASP Top-10. В нашей работе мы зачастую сталкиваемся с уязвимостями, позволяющими провести такие атаки, и всегда стараемся донести до владельца ресурса критичность таких находок. Мы рады, что команда JivoSite понимает важность такой находки, и, после нашего обращения, в кратчайшие сроки исправила найденный нами недостаток.», — прокомментировал руководитель отдела анализа защищенности Angara Technologies Group Сергей Гилев.
«Слаженная работа экспертов группы компаний Angara и разработчиков JivoSite позволила оперативно выявить и устранить уязвимость в ПО и предотвратить возможность проникновения через виджет для чата. Сейчас все наши клиенты автоматически получили обновленную версию приложения. Благодарим команду отдела анализа защищенности группы компаний Angara за помощь», — добавил технический директор Jivosite Николай Иванников.
Эксперты группы компаний Angara для снижения риска проведения атак XSS рекомендуют обрабатывать и корректно фильтровать данные, поступающие от пользователя в веб-приложение, осуществляя кодирование в HTML-сущности или экранирование потенциально опасных символов языка HTML. Также рекомендуется проводить регулярный анализ безопасности веб-приложений и использовать средства защиты, такие как WAF (web application firewall).
____
JivoSite — чат для сайта и инструмент для общения с клиентами в социальных сетях, мессенджерах и мобильных приложениях.
Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.
