Плагин для Chrome покажет уязвимость сайтов для XSS-атак

Плагин для Chrome покажет уязвимость сайтов для XSS-атак

Компания Google представила экспериментальный плагин DOM Snitch для браузера Chrome, позволяющий веб-разработчикам, тестировщикам и специалистам по безопасности выявлять ошибки в коде, выполняемом на стороне клиента.



Плагин, созданный Радославом Васильевым из офиса Google в Швейцарии, дает возможность проконтролировать, не открывает ли исполняемый код возможности осуществить XSS-атаку (точнее, XSS через DOM) или иную атаку, позволяющую занести на компьютер какую-нибудь "заразу" через браузер.

Плагин вряд ли представляет интерес для неспециалистов - хотя бы по той причине, что у простых смертных немного шансов понять смысл выводимых им сообщений. Кроме того, текущая версия имеет несколько багов, которые могут воспрепятствовать нормальной работе с браузером. Например, при работе в одном из режимов могут наблюдаться проблемы c Google Docs, сообщает Вебпланета.

С другой стороны, надо полагать, что даже неспециалисты вполне способны заглянуть в лог сообщений плагина и по цветовому коду определить степень уязвимости просматриваемых сайтов для XSS-атак (красным выделяется информация о явной проблеме с безопасностью, а желтым, зеленым или серым отмечаются менее существенные недочеты).

Около месяца назад было опубликовано схожее по функционалу расширение для браузера Firefox, помогающее тестировщикам выявлять потенциальные уязвимости сайта для XSS-атаки через DOM. Небезынтересно, что разработчики плагина проанализировали с его помощью первую сотню наиболее популярных (по версии Alexa) сайтов - и установили, что 56 из этих сайтов открыты для подобного рода атак.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Activision изучает вредоносную программу, ворующую пароли геймеров

Компания Activision, разрабатывающая крупные игровые проекты, изучает киберпреступную кампанию, в ходе которой злоумышленники утаскивают пароли геймеров с помощью неидентифицированного вредоноса.

Пока не очень понятно, как именно, но атакующим удаётся установить в системы игроков вредоносную программу, собирающую учётные данные от аккаунтов в системе Activision, а также криптовалютные кошельки.

Слова анонимного источника передаёт издание TechCrunch:

«Игровой гигант пытается помочь пользователям удалить вредонос с компьютеров и параллельно вычисляет затронутые кампанией аккаунты. На данный момент мало данных относительно вектора проникновения зловреда, однако есть мысль, что пострадавшие геймеры устанавливали сторонние инструменты».

В пресс-службе Activision подчеркнули, что компания в курсе кражи паролей ряда игроков. Отдельно отмечается, что серверы Activision никак не затронуты вредоносной активностью.

Судя по всему, первым на атаки указал специалист под ником Zeebler, разрабатывающий и продающий читы для Call of Duty. По его словам, вредоносная программа устанавливается на компьютеры геймеров, использующих именно инструменты читинга.

Как объясняет Zeebler, вредоносная программа маскируется под легитимный софт. Кстати, одним из пострадавших стал клиент Zeebler, после чего девелопер начал изучать кампанию и вышел на базу со скомпрометированными учётными данными.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru