На официальном сайте Интерпола любой желающий мог "объявить в розыск" кого угодно

На официальном сайте Интерпола любой желающий мог "объявить в розыск" кого угодно

На сайте международной правоохранительной организации "Интерпол" пользователями Интернета была обнаружена уязвимость, позволяющая любому желающему создать в рамках сайта страницу с произвольной фотографией и подписью к ней.

На сайте международной правоохранительной организации "Интерпол" пользователями Интернета была обнаружена уязвимость, позволяющая любому желающему создать в рамках сайта страницу с произвольной фотографией и подписью к ней.

Чтобы воспользоваться уязвимостью, нужно было сформировать адресную строку (URL) вида http://www.interpol.int/ Viewer/viewphoto.asp? ImageName=[адрес фотографии] &Text=[произвольный текст]. Фотография может быть любая и может находиться в произвольном месте в Интернете. Текст также может быть любой.

При заходе с помощью браузера по сформированному таким способом адресу на подлинной странице сайта Интерпола появлялась указанная пользователем произвольная фотография и введенный им текст. Такую страницу можно было легко принять за реально размещенную на сайте этой организации информацию.

Таким образом можно было, например, фальсифицировать сообщения о том, что кого-либо якобы разыскивает Интерпол - это могло быть использовано в разных целях - например, для розыгрышей.

Пользователи Интернета после первых сообщений о "дыре" занимались подделыванием объявлений на сайте в течение почти всего дня в пятницу, однако после 19:00 в пятницу программисты сайта interpol.int изменили уязвимый скрипт. В результате стало невозможным размещение изображений взятых с произвольных сайтов кроме сайта "Интерпола". Возможность размещать произвольный текст, в то же время, осталась. //lenta.ru

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься