Межсайтовый скриптинг (Cross-site scripting или XSS) является одной из самых распространенных уязвимостей в Web приложениях. Присутствующая XSS уязвимость на сайте americanexpress.com позволяет атакующему перехватывать данные, используемые для аутентификации и входить на сайт с привилегиями другого пользователя. Дальнейшая эксплуатация уязвимости позволяла злоумышленнику получить доступ к счету целевого пользователя. Об этой уязвимости сообщил Рас Макри (Russ McRee).

Макри пытался связаться с компанией American Express на протяжении двух недель, но так и не получил ни одного ответа на свои письма. Стоит учитывать, что American Express является членом Payment Card Industry Security Standards Council, в стандартах которого упоминается необходимость защиты Web-приложений в том числе и от XSS.

Как сообщаетTheRegister, уязвимость была исправлена через час после публикации новостного сообщения в СМИ. К сожалению это не совсем корректная информация. Уязвимость существует в настоящий момент несколько в другой реализации:

http://search.americanexpress.com/amex/?q=now",updateElement:customUpdateElement});alert('xss');</script>

Демонстрацию предыдущей реализации уязвимости можно посмотреть на виде по адресу:http://holisticinfosec.org/video/online_finance/amex.html

Макри также обнаружил несколько XSS уязвимостей в популярной социальной сети Facebook, которые были устранены в течении часа после публикации сообщения.

SecurityLab отправил сообщение о наличии уязвимости администрации сайта American Express. Надеемся, что нам повезет больше чем Расу Макри и уязвимость будет устранена в более короткие сроки.