Andromeda Cloud, inc.

(☁AC™) заявляет!
В мире ни один интернет гигант не защищает свои сервера и системы достойными для хакеров методами защиты!
Наши системные сканеры дошли до уровня интернет паука, которые в своей очереди сканируют сайты со скоростью 100 сайтов в секунду.
Сегодня мы поговорим об интернет магазинах.
Такие интернет магазины как: ASOS, QUELLE, EBAY и AMAZON, не принимают правильные механизмы защиты на своих серверах, которые в своей очереди открывают много уязвимостей разрешающих хакерам обойти их систему защиты, перехватить данные о кредитных карт, выполнить XSS запросы и.т.д.
1. Часто таки сайты не используют технологи HPKP для привязывания ключей (key pinning) на подпись сервера в целях защиты от подмены сертификатов сервера, так называемой атаки MTM.
2. 99% Интернет гигантов не используют механизм защиты от XSS атак
с помощью специальных модифицированных заголовков. X-XSS Protection, которые защищают даже уязвимые скрипты от XSS вторжений на уровне серверных технологий.
3. Ни на одних из указанных выше интернет магазинах, не используются технологии протокола HSTS! Механизм, активирующий форсированное защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола без редиректных правил 301/302.
4. Политика защиты контента, далее: Content Security Policy, не используются ни на одних из крупнейших интернет магазинах.
Что из себя представляет Content Security Policy?
Content Security Policy, добавляет дополнительный заголовок в браузеры пользователей со списком доверенных доменных имен, с которых будут загружаться скрипты, картинки, стили и доп. элементы для правильной работы сайта. Отсутствие данного механизма защиты, разрешает браузерам при заражении компьютера жертвы, загружать скрипты со сторонних, вредоносных ресурсов, при этом оставаясь в тени.
Например, эти скрипты могут изменить вид страницы или украсть данные кредитных карт пользователей.
5. X-Frame. Часто, сервера не используют защитный механизм от Frame вызовов с внешних ресурсов. Что это такое? Вредоносный сайт может брать нужный контент с сайта интернет магазина и выдавать себя за него. Например как это делает вредоносный сайт так называемого проекта: "Цепная реакция", который выдает себя за сайт профессиональных брокеров, требующий от пользователей 350$ для стартапа. **chain-reaction-pro.co** КСТАТИ! НЕЛЬЗЯ ДОВЕРЯТЬ ТАКИМ ПРОЕКТАМ НИ В КОЕМ СЛУЧАЕ!
Заголовок X-Frame запретит отображение контента сайтов на внешних ресурсах.
Мы выставили в известность 5 типов уязвимостей крупнейших в мире интернет магазинов, но категорически отказываемся показывать как выполнить такие атаки. Так-же мы отправили этим интернет магазинам предложение о помощи с решением обнаруженных проблем безопасности.
Это еще одно доказательство, что в интернете лишь малая часть сайтов имеют высокий потенциал защищенности. С Andromeda Cloud, inc - мир измениться в лучшую, защищенную сторону.
С Уважением, Andromeda Cloud, inc. (☁AC™).