Wstrzykiwanie JavaScriptu na Wykop

28 lipca 2017, 12:18 | W biegu | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.
Chcecie więcej ciekawostek w przyszłości? Obserwujcie #sekurak na wykop lub naszego usera 

Ostatnio użytkownicy Wykopu marudzili, że coś im psuje sekurak:

Co to?

Co to 2?

Co to 3?

I to mimo, że sam test trwał kilka sekund…

Przyczyna była dość prosta – persistent XSS (czyli możliwość wstrzykiwania dowolnego JavaScriptu innym użytkownikom Wykopu) w mikroblogach. A dokładnie w mechanizmie ankiet:

Który skutkował u innych mikroblogowiczów takim komunikatem:

Alert

Oczywiście potencjalni złośliwcy mogliby wstrzykiwać dowolny JavaScript – nie tylko niewinny alert.

Namierzoną przez nas podatność zgłosiliśmy do administracji wykopu i został już naprawiony. Oficjalna odpowiedź (która przyszła mimo weekendu – brawo!)

nasz dział IT potwierdza namierzenie i naprawienie zgłoszonego przez Was błędu. Dzięki za pomoc – wisimy Wam kosz rogali! :-)

PS
Ostatnio peristent XSS-a namierzyliśmy na stronie głównej Wykopu.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ksl

    Uh. Znalazłem kiedyś reflecteda na wykopie i nawet rogali nie dostałem :(

    Odpowiedz
  2. gosc

    A i nie wspomne już o instytucjach typu „rząd amerykański”, który wcale nie ukrywa że chciałby wszędzie mieć backdoor-y we wszelkiego rodzaju oprogramowaniu ( w sensie że kto jest przeciwko dziurom, jest przeciwko nim )
    w ramach walki ” o bezpieczeństwo”. Co jak wiemy jest bezsensem.

    Odpowiedz
  3. Jak wygląda kwestia prawna testów w tym konkretnym przypadku? Zgłaszaliście do Wykopu wcześniej, macie zgodę, ogólnie się zgadzają na takie zabawy?

    Odpowiedz

Odpowiedz