Το subdomain “Mobile Payments Readiness(mobilereadiness.mastercard.com)” βρέθηκε ευάλωτο σε επιθέσεις XSS. <…>
“http://mobilereadiness.mastercard.com/country-comparisons/index.php?c1=sg”><script>alert(“NullCrew”)</script>”
Συνήθως, τέτοιου είδους ευπάθειες κρίνονται ως χαμηλής επικινδυνότητας. Έστω και αν το επίπεδο του κινδύνου εκτιμάται πως είναι χαμηλό, οι επιτιθέμενοι μπορούν να κλέψουν λογαριασμούς χρηστών μέσω της κοινωνικής μηχανικής (social engineering).
Για παράδειγμα, ένας hacker μπορεί να ανακατευθύνει το θύμα σε κακόβουλες ιστοσελίδες phishing ενσωματώνοντας κάποιο script ανακατεύθυνσης στο url.
Το παραπάνω script ανακατευθύνει στη google. Ένας επιτιθέμενος μπορεί να στείλει το επεξεργασμένο link και να εξαπατήσει τους χρήστες ώστε να πιστεύουν ότι επισκέπτονται μια νόμιμη ιστοσελίδα της MasterCard. Στην πραγματικότητα όμως ανακατευθύνονται σε ένα κακόβουλο site, εν αγνοία τους.
[ Via ]
