Слабое место «Livejournal.com»
Уязвимым к межсатовому выполнению сценариев оказался один из популярнейших интернет-ресурсов мире — «LiveJournal». Как сообщается на сайте «SecurityLab» со ссылкой на информацию ленты «Fuzzing.ru», в ЖЖ имеется несколько уязвимостей, позволяющих разного рода несознательным гражданам выполнить произвольный HTML-код и код сценария в браузере жертвы в контексте безопасности сайта «LiveJournal.com».
На «LiveJournal.com», в частности, используется уязвимая версия веб-сервера Apache, и с помощью специально сформированного http-запроса злоумышленник может произвести XSS-атаку. Тот же источник сообщает об ошибке проверки входных данных в параметре usejournal в сценарии update.bml — с помощью специально сформированной ссылки лихой человек может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Цитируя данную информацию, «SecurityLab» демонстрирует примеры использования:
http://www.livejournal.com:80/update.bml?usejournal=>”> <script%20%0a%0d>alert(document.cookie)%3B</script>
http://www.livejournal.com:80/update.bml?usejournal=>’> <script%20%0a%0d>alert(document.cookie)%3B</script>
http://www.livejournal.com/update.bml?usejournal=–> <script%20%0a%0d>alert(document.cookie)%3B</script>
Авторы сообщения рекомендуют всем пользователям «Живого Журнала» поосторожнее обращаться со ссылками, ведущими на «LiveJournal.com».
Источник:
Ещё рекомендуем прочитать:
Имени Паркера – 2007
Какой блог социальнее?
Олимпийские блоги разрешены
Польша приходит на Украину
И кулинария всей страны
| К списку статей |
