Обнаружено несколько уязвимостей, которые могут позволить злоумышленнику обойти некоторые ограничения безопасности и получить доступ к важным данным пользователей.
Межсайтовое выполнение сценариев или межсайтовый скрптинг (XSS) – одна из самых распространенных уязвимостей в Web приложениях. Наличие подобной уязвимости позволяет злоумышленнику выполнить произвольный HTML код или код сценария в браузере жертвы в контексте безопасности уязвимого сайта: получить полный контроль над сессией пользователя и получить личные данные пользователя, попытаться установить злонамеренное ПО на компьютер жертвы и т.д. Существующая уязвимость позволяет злоумышленнику создать специально сформированное описание к фотографии и выполнить произвольный HTML код или код сценария в браузере каждого пользователя, просмотревшего описание к фотографии.
ZHECKA-RIPN сообщил также о возможном существовании SQL-инъекции при добавлении новой компании.
К сожалению это не первый инцидент безопасности, связанный с проектом odnoklassniki.ru. На прошлой неделе SecurityLab сообщал своим читателям о наличии уязвимости, позволяющей изменить личные данные произвольных пользователей приложения. Социальные сети в последнее время приобретают все большую популярность. Многие люди желают общаться друг с другом, найти своих одноклассников, однокурсников или просто старых друзей. Но, к сожалению, рост популярности таких проектов не ведет к усилению их безопасности.
SecurityLab рекомендует всем читателям с осторожностью публиковать личные данные на подобных сайтах, так как всегда может оказаться тот, кому эта информация будет интересна и тот, кто сможет получить к ней доступ к считанные минуты.
Гравитация научных фактов сильнее, чем вы думаете