РУС |
ENG
09 ноября, 2007
ZHECKA-RIPN сообщил редакции SecurityLab о наличии уязвимостей в популярном российском проекте odnoklassniki.ru. Автор также сообщил, что все его попытки связаться с администрацией проекта и сообщить им об уязвимостях закончились неудачей.
Межсайтовое выполнение сценариев или межсайтовый скрптинг (XSS) – одна из самых распространенных уязвимостей в Web приложениях. Наличие подобной уязвимости позволяет злоумышленнику выполнить произвольный HTML код или код сценария в браузере жертвы в контексте безопасности уязвимого сайта: получить полный контроль над сессией пользователя и получить личные данные пользователя, попытаться установить злонамеренное ПО на компьютер жертвы и т.д. Существующая уязвимость позволяет злоумышленнику создать специально сформированное описание к фотографии и выполнить произвольный HTML код или код сценария в браузере каждого пользователя, просмотревшего описание к фотографии.
ZHECKA-RIPN сообщил также о возможном существовании SQL-инъекции при добавлении новой компании.
К сожалению это не первый инцидент безопасности, связанный с проектом odnoklassniki.ru. На прошлой неделе SecurityLab сообщал своим читателям о наличии уязвимости, позволяющей изменить личные данные произвольных пользователей приложения. Социальные сети в последнее время приобретают все большую популярность. Многие люди желают общаться друг с другом, найти своих одноклассников, однокурсников или просто старых друзей. Но, к сожалению, рост популярности таких проектов не ведет к усилению их безопасности.
SecurityLab рекомендует всем читателям с осторожностью публиковать личные данные на подобных сайтах, так как всегда может оказаться тот, кому эта информация будет интересна и тот, кто сможет получить к ней доступ к считанные минуты.
(Голосов: 19, Рейтинг: 4.11) |
Был бы ты нужен этим людям - они б тебя раньше нашли наверное!
Многие тусуют на данном сайте.
интересно, если альтруиста столько дыр там находят, сколько ж там приватных дыр!?
О_о с каких пор хтмл выполняется?
команды в EXE файле интерпретируются процессором и микропроцессор возвращает некоторый результат (в регистры, память).
HTML код интерпретируется броузером и бруозер генерирует и возвращает некоторый результат (отформатированную страницу).
====================
не вижу между этими действиями принципиальной разницы..
2 I'm eбaли мы ваши запреты на корпоративных проксях и будем eбaTЬ! Соксчейн правит! Будем сидеть там, где захотим!
а знаешь что такое сапогом в e6ало после работы?
А знаешь что такое gprs и route -p add
Нескольким первым отписавшимся чмошникам без фантазии и головы, которым не нужны одноклассники могу сказать что люди имеют свойство уезжать в другие города, а также менять место жительства и номера телефонов без предупреждения. Также могу вам чаю с полонием предложить - такие лохи как вы, не умеющие с людьми живыми разговаривать без заикания, не должны дать потомства. А после 10-20 лет окончания школы бывает хорошо увидеть тех с кем учился 10 лет и из ребенка за эти годы превращался в гражданина с паспортом. Важнейшие такие годы.
криворуких программеров и дизайнеров проекта однозначно на мыло!!!
А пеарщикам пирожок с полки
для американских пользователей, к примеру, реклама на одноклассниках стоит 50 баксов в сутки. Вам нужны какие-то другие поттверждения удачной реализации??? А то, что вы, далпаепы-малолетки пытаетесь себя почуствывать "куцхакирам" на данном проекте, это только прибавляет денех самому проехту... и мне допесды, вы там хоть фсе перевзламывайте друг друга... лиж бы постинги ваших контактных данных на на лево работал, да лиды шли с банеров.
з.ы. а то, как общаться и с кем, независимо от представленных возможностей, нормальные люди определяются до 15 годкоФф обычно
дырку закрыли вчера вечером, когда о ней было сообщено руководству сайта. Даже ради интереса написали эксплоит который ворует куки и сессии с сайта. Радует то, что закрываются дырки довольно оперативно, не откладываясь в долгий ящик.
"нах не надо" == "я ещё учусь и меня эти однокласники и так за#-ли" или "я только закончил школу/выгнали из школы/универа/института/пту/дворовой тусовки и я лучше перед компом по порнухе пошарюсь чем пообщаюсь с кем либо в реале".
"очень полезный сайт" == закончил учиться 10-15-20 лет назад и очень даже с удовольствием восстановил бы контакты с некоторыми людьми которые по какой либо причине были утеряны (а уважительных причин может быть достаточно много).