פרצת Cross-Site Scripting נתגלתה לפני כשבועיים באתר ארגון ה-PCI העולמי, ותוקנה זמן קצר לאחר מכן. הפרצה נמצאה בספריית מסמכים ציבוריים, ועלולה היתה לאפשר...
להאקרים גישה אל מסמכים אלו, אשר משמשים חברות אשר כפופות לתקן כרטיסי האשראי העולמי ולפגוע בגולשי האתר.
לורה ג'ונסון, מנהלת בכירה בארגון אמרה ש"הארגון זיהה פירצה מינורית באחת מן הספריות הציבוריות באתר, וטיפל בנושא תוך דקות. אף סוג של מידע לא היה בסיכון בשום שלב".
עם זאת, יש לזכור כי גישה של האקרים פוטנציאליים למידע (שגם כך הוגדר מראש כמידע ציבורי ונגיש לכל) אינה הבעיה העיקרית במקרה זה; פרצת Cross-Site Scripting מתאפשרת כאשר דפי אינטרנט, הנוצרים באופן דינמי, מציגים קלט שהוכנס ע"י המשתמש, כגון שם משתמש וסיסמא, או כל ערך של משתנה אחר, כאשר הקלט לא נבדק לפני כן ע"י אפליקציית האתר; עובדה זו מאפשרת לתוקף להכניס פנימה לתוך הקלט script (קוד) זדוני, היישר לתוך הדף שנוצר, ואז להריץ את ה-script על מחשב המשתמש אשר גולש באתר הפגיע. אם מצליחים לנצל אותה, הרי שפרצת Cross-Site Scripting, מאפשרת לשנות או לגנוב cookies (יחידות מידע שמועברות ברשת כאשר ניגשים לאתר), ליצור בקשות בשם משתמש חוקי אחר, לקרוא מידע אישי, או להריץ קוד זדוני על מחשבי המשתמשים אשר עושים שימוש באתר.
מבחינה זו - הגולשים באתר הם אלו אשר נמצאו בסיכון גבוה בשל קיום הפירצה - ופחות המידע באתר הפגיע.
בנוסף, יש להדגיש כי בכדי לאתר פרצות מסוג זה (ואחרות) באפליקציות אתרי אינטרנט, יש צורך לבצע באופן שוטף מבדקים לאיתור פרצות אבטחה באפליקציית האתר - ממש כפי שמגדיר תקן ה-PCI עצמו.
מומלץ לבצע מבדקים בתדירות שנתית, או לאחר כל שינוי/שדרוג משמעותי באפליקציה.
לידיעה המלאה - כאן
לאתר ה-PCI - כאן