Центробанк оказал услугу фишерам

ЦБ начал вести список доменных имён официальных веб-сайтов банков 11 июня этого года, что на днях было замечено бдительными сотрудниками "Лаборатории Касперского". Сперва это начинание было встречено ими с одобрением, однако позднее они обнаружили, что на странице со списком банков используется потенциально опасный скрипт редиректа.

Ссылка на каждый сайт имеет вид "cbr.ru/credit/CoSiteRedirect.asp?ref=[адрес сайта]". Проблема в том, что в качестве параметра ref можно подставить любой адрес. При этом посетителю будет продемонстрирована страница, предупреждающая его о том, что он покидает сайт Банка России, и содержащая прямую ссылку из параметра ref с подписью "Сайт кредитной организации".

"Скрипт не только не проверяет передаваемые параметры и способен переадресовывать на любой сайт, но еще и генерирует страницу, фактически подтверждающую "легальность" сайта на который идет переход! "Сайт кредитной организации", и это на сайте ЦентроБанка России! — поражается эксперт Александр Гостев в корпоративном блоге "Лаборатории Касперского". — Налицо серьезная уязвимость на сайте, которая может быть использована не только фишерами".

Буквально за день до этого Гостев приводил в качестве примера спам, рекламирующий так называемые "канадские таблетки". Ссылка, ведущая на сайт спамеров, была сформирована при помощи похожего скрипта перенаправления, использующегося в компании Sun, то есть начиналась со вполне легитимного "sun.com/".

"Ошибки в скриптах перенаправления, когда адрес конечной страницы не проверяется на стороне сервера, довольно распространены и представляют опасность для пользователей, — прокомментировал этот случай эксперт. — Ведь адрес может выглядеть довольно безобидно и указывать на сайт известной компании, а при переходе по такому адресу пользователю может открыться не только реклама медикаментов, но и страница с троянцем или набором exploit'ов".