Заказать счет на подписку у менеджера
Разработка и производство аналитического оборудования
Поделитесь с друзьями:

Группа компаний Angara развивает новое направление анализа защищенности и уже помогло виджету JivoSite снизить риск атак

4 декабря 2019

Эксперты отдела анализа защищенности группы компаний Angara помогли распространенному виджету обратной связи с клиентом JivoSite устранить опасную уязвимость в своем ПО, позволяющую выполнить атаку Self DOM-based XSS (Cross-Site Scripting, XSS), в результате чего возможно получение сессионных данных пользователя контроля над его аккаунтом на сайте или клиентским браузером.

Производитель ПО JivoSite совместно с группой компаний Angara оперативно устранили уязвимость и уберегли своих клиентов от потенциальных атак по данному вектору.

DOM-based XSS — это разновидность межсайтового скриптинга. Суть атаки DOM-based XSS заключается в использовании недостатков программного интерфейса разметки Document Object Model для исполнения вредоносного кода в браузере клиента на уязвимом сайте. Для реализации атаки злоумышленник использует методы социальной инженерии. Например, представившись специалистом технической поддержки, убеждает жертву перейти по ссылке, содержащей вредоносный код. При таком типе атаки нет внешних подозрительных изменений — но файлы cookie пользователя отправляются на сервер, подконтрольный злоумышленнику, после чего мошенник, используя перехваченные данные, получает доступ к личному аккаунту пользователя. 

«Межсайтовый скриптинг является одним из наиболее опасных типов атак и прочно занимает место в OWASP Top-10. В нашей работе мы зачастую сталкиваемся с уязвимостями, позволяющими провести такие атаки, и всегда стараемся донести до владельца ресурса критичность таких находок. Мы рады, что команда JivoSite понимает важность такой находки, и, после нашего обращения, в кратчайшие сроки исправила найденный нами недостаток.», — прокомментировал руководитель отдела анализа защищенности Angara Technologies Group Сергей Гилев.

«Слаженная работа экспертов группы компаний Angara и разработчиков JivoSite позволила оперативно выявить и устранить уязвимость в ПО и предотвратить возможность проникновения через виджет для чата. Сейчас все наши клиенты автоматически получили обновленную версию приложения. Благодарим команду отдела анализа защищенности группы компаний Angara за помощь», — добавил технический директор JivoSite Николай Иванников.

Эксперты группы компаний Angara для снижения риска проведения атак XSS рекомендуют обрабатывать и корректно фильтровать данные, поступающие от пользователя в веб-приложение, осуществляя кодирование в HTML-сущности или экранирование потенциально опасных символов языка HTML. Также рекомендуется проводить регулярный анализ безопасности веб-приложений и использовать средства защиты, такие как WAF (web application firewall).

____

JivoSite — чат для сайта и инструмент для общения с клиентами в социальных сетях, мессенджерах и мобильных приложениях. 

Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.

www.angarapro.ru | +7-495-269-26-06 | www.angaratech.ru







Для того, чтобы добавить новость,
вам необходимо или зарегистрироваться


Статьи журнала "Директор по безопасности"

Обработка персональных данных без использования средств автоматизацииОбработка персональных данных без использования средств автоматизации
Когда начинаешь проливать свет на это заблуждение, многие впадают в шок: «Что, содержание личн...
Особенности защиты  информации  в геоинформационных  системахОсобенности защиты информации в геоинформационных системах
  В последнее время значительный прогресс  в области информационных систем и тех- нолог...
Безопасность офиса. Современные решения.Безопасность офиса. Современные решения.
  Ï оследний вопрос очень важен, по- скольку при неверном подходе система защиты  ...
Защита персональных  данных: долгожданные  законодательные  нововведенияЗащита персональных данных: долгожданные законодательные нововведения
Регулирование требований по защите персональных данных происходит, как и многие другие подобные проц...
Все статьи

Журнал

В следующем номере

  • Механизм реабилитации банковских клиентов
  • Криминальные тенденции в грузоперевозках в России - 2020
  • Читать полностью

Контакты

Прямая линия рекламной службы:
+7 (499) 267-40-10, доб. 206
e-mail: reklama@s-director.ru

Отдел подписки:
+7 (499) 267-40-10
e-mail: podpiska@s-director.ru

Редакция: +7 (499) 267-40-10
e-mail: info@s-director.ru

Поделитесь с друзьями:

Недостаточно средств

Пополнить счет

Если Вы является подписчиком годовой электронной копии журнала, то Вам не нужно покупать статьи в журналах подписного периода.
Доступ к ним осуществляется в Личном кабинете в разделе «Электронные копии статей».
Логин или E-mail
Пароль (Забыли пароль?)
Запомнить
Если Вы ещё не зарегистрированы в системе, Вам необходимо зарегистрироваться
Введите e-Mail:
Fri, 07 May 2021 01:47:40


Журнал для генеральных директоров и собственников бизнеса