×

Уязвимость загрязнения прототипа ставит под угрозу тысячи веб-приложений на Ember.js

Уязвимость загрязнения прототипа ставит под угрозу тысячи веб-приложений на Ember.js

Используя уязвимость, киберпреступники могут с легкостью провести XSS-атаку.

Уязвимость загрязнения прототипа в Ember.js была случайно обнаружена ИБ-специалистом Масато Кинугавой во время другого расследования. Он обнаружил ее в одном из доменов, принадлежащих Google и сообщил о ней через программу Google Bug Bounty Program. Изучив уязвимость подробнее, исследователь понял, что ее первопричина кроется в фреймворке Ember.js.

В случае фреймворка загрязнение прототипа позволяет злоумышленникам проводить XSS-атаки и красть информацию пользователя.

По словам Кинугавы, если приложение передает непроверенные входные данные в некоторые функции установки свойств объектов Ember.js, это может привести к загрязнению прототипов. По сути, это означает, что злоумышленник может использовать функцию установки свойства для обхода прототипа объекта и внесения изменений в другие части JS-программы, включая базовый объект, от которого происходят все остальные объекты.

Для того чтобы воспользоваться этой уязвимостью, злоумышленнику понадобится скрипт-гаджет – легитимный фрагмент JS-кода на веб-странице, который при помощи CSS-селекторов считывает содержимое DOM-элементов и затем обрабатывает их таким образом, чтобы запустился вредоносный скрипт.

Подводя итоги, Кинугава порекомендовал разработчикам внимательно изучать то, как происходит обработка параметров URL. По его словам, это должно помочь лучше находить подобные уязвимости.

Данные корпоративного справочника «Билайна» оказались в открытом доступе

Пресс-служба мобильного оператора подтвердила факт утечки. Проводится «расследование по выявлению причин произошедшего».

ITU: Доступ в интернет стал доступнее

Тем не менее самые бедные слои населения по-прежнему лишены выхода в сеть

Новый паспорт и переезд на запад в обмен на слив

За слив баз данных работникам российских банков стали предлагать переезд за границу.