ГК Angara помогла виджету JivoSite снизить риск атак

10.12.2019
ГК Angara помогла виджету JivoSite снизить риск атак
Эксперты отдела анализа защищенности группы компаний Angara помогли распространенному виджету обратной связи с клиентом Jivosite устранить опасную уязвимость в своем ПО, позволяющую выполнить атаку Self DOM-based XSS.

Эксперты отдела анализа защищенности группы компаний Angara помогли распространенному виджету обратной связи с клиентом Jivosite устранить опасную уязвимость в своем ПО, позволяющую выполнить атаку Self DOM-based XSS (Cross-Site Scripting, XSS), в результате чего возможно получение сессионных данных пользователя контроля над его аккаунтом на сайте или клиентским браузером.

Производитель ПО JivoSite совместно с группой компаний Angara оперативно устранили уязвимость и уберегли своих клиентов от потенциальных атак по данному вектору.

DOM-based XSS — это разновидность межсайтового скриптинга. Суть атаки DOM-based XSS заключается в использовании недостатков программного интерфейса разметки Document Object Model для исполнения вредоносного кода в браузере клиента на уязвимом сайте. Для реализации атаки злоумышленник использует методы социальной инженерии. Например, представившись специалистом технической поддержки, убеждает жертву перейти по ссылке, содержащей вредоносный код. При таком типе атаки нет внешних подозрительных изменений — но файлы cookie пользователя отправляются на сервер, подконтрольный злоумышленнику, после чего мошенник, используя перехваченные данные, получает доступ к личному аккаунту пользователя.

«Межсайтовый скриптинг является одним из наиболее опасных типов атак и прочно занимает место в OWASP Top-10. В нашей работе мы зачастую сталкиваемся с уязвимостями, позволяющими провести такие атаки, и всегда стараемся донести до владельца ресурса критичность таких находок. Мы рады, что команда JivoSite понимает важность такой находки, и, после нашего обращения, в кратчайшие сроки исправила найденный нами недостаток.», — прокомментировал руководитель отдела анализа защищенности Angara Technologies Group Сергей Гилев.

«Слаженная работа экспертов группы компаний Angara и разработчиков JivoSite позволила оперативно выявить и устранить уязвимость в ПО и предотвратить возможность проникновения через виджет для чата. Сейчас все наши клиенты автоматически получили обновленную версию приложения. Благодарим команду отдела анализа защищенности группы компаний Angara за помощь», — добавил технический директор Jivosite Николай Иванников.

Эксперты группы компаний Angara для снижения риска проведения атак XSS рекомендуют обрабатывать и корректно фильтровать данные, поступающие от пользователя в веб-приложение, осуществляя кодирование в HTML-сущности или экранирование потенциально опасных символов языка HTML. Также рекомендуется проводить регулярный анализ безопасности веб-приложений и использовать средства защиты, такие как WAF (web application firewall).