jerrri
13.05.2009, 18:45
Cтатья о вирусе на сайте антивируса оказалась вирусом
Статья в онлайн-версии New York Times, рассказывающая о "дырах" на сайте антивирусной компании McAfee, наделила веб-страницу издания одной из этих самых уязвимостей, сообщает PC World.
Изначально статья, написанная Лидией Дэйвис (Lidija Davis), была опубликована на ReadWriteWeb. В ней шла речь об XSS-уязвимостях, обнаруженных на сайте компании McAfee. Автор привела подробные инструкции о том, как воспользоваться этими уязвимостями, и заодно проехалась по McAfee, узрев определённую иронию судьбы в том, что сапожник оказался без сапог.
У судьбы, однако, нашёлся ещё один повод для иронии. В статье Дэйвис был приведён в качестве примера кусок текста, с помощью которого уязвимость сайта McAfee эксплуатировалась путём перенаправления пользователя на сайт ReadWriteWeb. На следующий день эта статья была перепубликована в New York Times в неизменном виде, и выяснилось, что использовавшаяся для примера строка представляет собой действующий код межсайтового скриптинга.
При попытке пользователя открыть страничку со статьей, синдицированной в New York Times, браузер сперва отображал часть текста вплоть до этой строки, после чего производил перенаправление на ReadWriteWeb.
На всякий случай мы не приводим здесь эту строку даже в виде картинки, поскольку холостая граната в чужих руках однажды уже оказалась боевой.
У этой истории всё-таки оказался счастливый конец. Все действующие лица предупреждены о возникших проблемах. Даже на сайте McAfee предприняли какие-то действия по устранению XSS-уязвимостей, так что эта компания и впредь может с честью выступать в роли эксперта по кибербезопасности. В самом деле, со всяким может случиться — даже с "Лабораторией Касперского".
Однако принцип, по которому статьи публикуются в New York Times, судя по всему, остался прежним. Это означает, что у авторов всё ещё остается возможность создавать тексты с сюрпризами.
ИСТОЧНИК (http://webplanet.ru/news/security/2009/05/07/nyt_xss.html)
07.05.2009 19:22
Статья в онлайн-версии New York Times, рассказывающая о "дырах" на сайте антивирусной компании McAfee, наделила веб-страницу издания одной из этих самых уязвимостей, сообщает PC World.
Изначально статья, написанная Лидией Дэйвис (Lidija Davis), была опубликована на ReadWriteWeb. В ней шла речь об XSS-уязвимостях, обнаруженных на сайте компании McAfee. Автор привела подробные инструкции о том, как воспользоваться этими уязвимостями, и заодно проехалась по McAfee, узрев определённую иронию судьбы в том, что сапожник оказался без сапог.
У судьбы, однако, нашёлся ещё один повод для иронии. В статье Дэйвис был приведён в качестве примера кусок текста, с помощью которого уязвимость сайта McAfee эксплуатировалась путём перенаправления пользователя на сайт ReadWriteWeb. На следующий день эта статья была перепубликована в New York Times в неизменном виде, и выяснилось, что использовавшаяся для примера строка представляет собой действующий код межсайтового скриптинга.
При попытке пользователя открыть страничку со статьей, синдицированной в New York Times, браузер сперва отображал часть текста вплоть до этой строки, после чего производил перенаправление на ReadWriteWeb.
На всякий случай мы не приводим здесь эту строку даже в виде картинки, поскольку холостая граната в чужих руках однажды уже оказалась боевой.
У этой истории всё-таки оказался счастливый конец. Все действующие лица предупреждены о возникших проблемах. Даже на сайте McAfee предприняли какие-то действия по устранению XSS-уязвимостей, так что эта компания и впредь может с честью выступать в роли эксперта по кибербезопасности. В самом деле, со всяким может случиться — даже с "Лабораторией Касперского".
Однако принцип, по которому статьи публикуются в New York Times, судя по всему, остался прежним. Это означает, что у авторов всё ещё остается возможность создавать тексты с сюрпризами.
ИСТОЧНИК (http://webplanet.ru/news/security/2009/05/07/nyt_xss.html)
07.05.2009 19:22