Найдена опасная XSS уязвимость на RapidShare.com

Найдена опасная XSS уязвимость на RapidShare.com

Исследователи в области безопасности компании M86 Security предупреждают пользователей о наличии на файлообменном ресурсе RapidShare.com XSS уязвимости, позволяющей злоумышленникам создавать поддельный контент.

RapidShare.com является одним из самых крупных файлообменных ресурсов в сети. Как любой популярный бесплатный ресурс, он привлекает внимание кибепреступников, которые так и норовят разместить там вредоносное программное обеспечение или контент.

Как рассказали эксперты M86, протестировав сообщение об ошибке, выдававшееся при попытке загрузки файла, обнаружили, что сайт содержит дефект недостаточной валидации вводимых данных, используя который можно создать внутри целевого сайта фишинговые страницы.

Иными словами, это третья разновидность уязвимостей кроссайтового скриптинга - DOM –based XSS; в случае атаки специально сформированный запрос посылается прямиком на сервер. Причем жертве достаточно лишь перейти по вредоносной ссылке, которая может быть отправлена либо через форумы и чаты, либо по электронной почте. Заметим, что обычные методы обнаружения XSS атак тут не помогают, поскольку вначале полезных данных содержится символ  «#».

В этот раз, пользователю, попытавшемуся скачать с RapidShare.com какой-либо файл, вместо сообщения о том, что сервер перегружен и ему следует зайти позже, предлагалось выгодно приобрести Pro Account со скидкой аж 80%. Для получения такой «привилегии» ему необходимо отправить SMS сообщение на короткий (премиум) номер, причем абсолютно бесплатно. И, конечно, предложение ограничено.

Естественно, люди будут заинтересованы в получении более высокой скорости загрузки, да еще и по низкой цене. Но, если жертва откликнется на это предложение, то с его счета спишется немалая сумма.  

Администрация ресурса уже поставлена в известность, и проблема будет решена в кратчайшие сроки, однако пользователям надлежит быть более бдительными к получаемым сообщениям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России предложили штрафовать за поиск экстремистских материалов и VPN

Ко второму чтению законопроекта №755710-8 предложены поправки, вводящие штрафы за умышленный поиск и получение доступа к «заведомо экстремистским материалам», а также за рекламу VPN-сервисов и других технических средств, позволяющих обходить блокировки.

Поправки внесены в законопроект о внесении изменений в КоАП, изначально касавшийся исключительно регулирования транспортно-экспедиционной деятельности. Документ был принят в первом чтении 20 января 2025 года.

Как сообщает «Интерфакс», предлагается дополнить КоАП РФ новой статьёй 13.53, устанавливающей ответственность за умышленный поиск в интернете «заведомо экстремистских материалов», включённых в соответствующий список, а также за получение доступа к ним, в том числе с использованием VPN. За это предусмотрен штраф для граждан в размере от 3 до 5 тысяч рублей.

Реклама технических средств доступа к информационным ресурсам, доступ к которым ограничен, повлечёт административную ответственность: штраф для граждан составит от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч рублей, для юридических лиц — от 200 до 500 тысяч рублей.

Неисполнение владельцем VPN-сервиса требований по взаимодействию с Роскомнадзором или отказ от подключения к государственной информационной системе учёта ресурсов повлечёт аналогичные штрафы: для граждан — от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч, для юридических лиц — от 200 до 500 тысяч рублей. При повторных нарушениях размер штрафов увеличится в 2–4 раза.

Как отметил юрист Станислав Селезнёв в комментарии для Forbes, ранее в российском законодательстве отсутствовала ответственность за потребление контента. Сведения о поисковых запросах и доступе к сайтам правоохранительные органы могут получать у владельцев поисковых систем и операторов связи — если пользователь не шифрует трафик.

По словам источника Forbes, доказать факт такого правонарушения затруднительно без изъятия устройства.

«К тексту очень много вопросов и замечаний. Можно лишь пожелать, чтобы для думских инициатив были предусмотрены процедуры, аналогичные тем, что применяются к правительственным законопроектам — это могло бы значительно повысить качество депутатских инициатив», — отметил собеседник Forbes из отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru