Заказать счет на подписку у менеджера
Реклама. ООО Модус. ИНН7726691417. erid: 2VtzqvLBDKh

Группа компаний Angara развивает новое направление анализа защищенности и уже помогло виджету JivoSite снизить риск атак

4 декабря 2019

Эксперты отдела анализа защищенности группы компаний Angara помогли распространенному виджету обратной связи с клиентом JivoSite устранить опасную уязвимость в своем ПО, позволяющую выполнить атаку Self DOM-based XSS (Cross-Site Scripting, XSS), в результате чего возможно получение сессионных данных пользователя контроля над его аккаунтом на сайте или клиентским браузером.

Производитель ПО JivoSite совместно с группой компаний Angara оперативно устранили уязвимость и уберегли своих клиентов от потенциальных атак по данному вектору.

DOM-based XSS — это разновидность межсайтового скриптинга. Суть атаки DOM-based XSS заключается в использовании недостатков программного интерфейса разметки Document Object Model для исполнения вредоносного кода в браузере клиента на уязвимом сайте. Для реализации атаки злоумышленник использует методы социальной инженерии. Например, представившись специалистом технической поддержки, убеждает жертву перейти по ссылке, содержащей вредоносный код. При таком типе атаки нет внешних подозрительных изменений — но файлы cookie пользователя отправляются на сервер, подконтрольный злоумышленнику, после чего мошенник, используя перехваченные данные, получает доступ к личному аккаунту пользователя. 

«Межсайтовый скриптинг является одним из наиболее опасных типов атак и прочно занимает место в OWASP Top-10. В нашей работе мы зачастую сталкиваемся с уязвимостями, позволяющими провести такие атаки, и всегда стараемся донести до владельца ресурса критичность таких находок. Мы рады, что команда JivoSite понимает важность такой находки, и, после нашего обращения, в кратчайшие сроки исправила найденный нами недостаток.», — прокомментировал руководитель отдела анализа защищенности Angara Technologies Group Сергей Гилев.

«Слаженная работа экспертов группы компаний Angara и разработчиков JivoSite позволила оперативно выявить и устранить уязвимость в ПО и предотвратить возможность проникновения через виджет для чата. Сейчас все наши клиенты автоматически получили обновленную версию приложения. Благодарим команду отдела анализа защищенности группы компаний Angara за помощь», — добавил технический директор JivoSite Николай Иванников.

Эксперты группы компаний Angara для снижения риска проведения атак XSS рекомендуют обрабатывать и корректно фильтровать данные, поступающие от пользователя в веб-приложение, осуществляя кодирование в HTML-сущности или экранирование потенциально опасных символов языка HTML. Также рекомендуется проводить регулярный анализ безопасности веб-приложений и использовать средства защиты, такие как WAF (web application firewall).

____

JivoSite — чат для сайта и инструмент для общения с клиентами в социальных сетях, мессенджерах и мобильных приложениях. 

Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.

www.angarapro.ru | +7-495-269-26-06 | www.angaratech.ru







Для того, чтобы добавить новость,
вам необходимо или зарегистрироваться


Статьи журнала "Директор по безопасности"

Как правильно организовать физическую охрану на сложных объектах?
Когда мы можем говорить, что объект сложный? Во-первых, характеристикой сложного объекта является р...
Этика и законность скрытого видеонаблюдения
 Не секрет, что самым эффективным является скрытое видеонаблюдение, когда объект наблюдения не ...
Проверки контрагентов. О важности мелочейПроверки контрагентов. О важности мелочей
  ак уж сложилось, что наиболее эффективно си- стема проверки контрагентов выстроена в банков...
Защита персональных  данных: долгожданные  законодательные  нововведенияЗащита персональных данных: долгожданные законодательные нововведения
Регулирование требований по защите персональных данных происходит, как и многие другие подобные проц...
Все статьи

Журнал

В следующем номере

  • Большая политика и лидерство в компании
  • Мошенничество при инвестициях
  • Риски при выборе поставщиков логистических услуг
  • Читать полностью

Контакты

Прямая линия рекламной службы:
+7 (499) 267-40-10, доб. 206
e-mail: reklama@s-director.ru

Отдел подписки:
+7 (499) 267-40-10
e-mail: podpiska@s-director.ru

Редакция: +7 (499) 267-40-10
e-mail: info@s-director.ru

Недостаточно средств

Пополнить счет

Если Вы является подписчиком годовой электронной копии журнала, то Вам не нужно покупать статьи в журналах подписного периода.
Доступ к ним осуществляется в Личном кабинете в разделе «Электронные копии статей».
Логин или E-mail
Пароль (Забыли пароль?)
Запомнить
Если Вы ещё не зарегистрированы в системе, Вам необходимо зарегистрироваться
Введите e-Mail:
Выкладка журнала "Директор по безопасности"
Sat, 05 Jul 2025 21:16:50