Во всем виноваты XSS-уязвимости
Почему раньше этого не знали?
Исследователь безопасности Рэнди Уестерген обнаружил уязвимость в бустерах плавающих фреймов (iframe busters). Если вы не знали, то iframe busters — файлы, которые используются на web-сайтах для поддержки расширяемой рекламы. Эти файлы предлагают маркетинговые компании владельцам сайтов, которые хотят отображать рекламу.
Маркетинговые компании используют свои уникальные скрипты, однако их работа происходит всегда одинаково — при помощи кода JavaScript, который обходит браузерное правило ограничения домена. С помощью этого кода реклама и выходит за рамки своего контейнера, увеличивается в размерах, а также вносит изменения в страницу.
Рэнди обнаружил в большинстве XSS-скриптов уязвимости, которые позволяют хакерам запускать на сайтах произвольные коды JavaScript. При помощи этого, злоумышленники могут удаленно похищать данные пользователей.
