На мобильной версии web-сайта «Аэрофлота» обнаружена XSS-уязвимость

Исследователь безопасности под псевдонимом SecBit  сообщил  об XSS-уязвимости на ресурсе m.aeroflot.ru - мобильной версии web-сайта крупнейшего российского авиаперевозчика «Аэрофлот».

Как отмечает SecBit, из-за небрежного отношения и отсутствия адекватных средств защиты безопасности администрация ресурса m.aeroflot.ru систематически подвергает опасности своих пользователей. m.aeroflot.ru и его поддомены содержат, по крайней мере, одну из уже известных XSS-уязвимостей. 

По словам специалиста, одна XSS-уязвимость до сих пор остается неисправленной, и может быть проэксплуатирована злоумышленниками против пользователей, посетителей и администраторов web-сайта.

Похищение файлов cookie, персональных и учетных данных, а также истории браузера – являются, возможно, наименее опасными последствиями XSS-атак. На сегодняшний день данные атаки становятся все более сложными и зачастую используются в паре с фишинговыми атаками, социальной инженерией и атаками drive-by download.