Ci5
05.11.2007, 11:01
На сайте популярной российской социальной сети "Одноклассники.Ру" обнаружена и исправлена ошибка, позволявшая изменять информацию о любом пользователе и писать сообщения от его имени, сообщается в блоге Антона Носика.
Ошибка заключалась в сохранении сервером сессии пользователя (уникального кода, создаваемого при авторизации). Злоумышленник мог отправить кому-либо ссылку на страницу любого пользователя сайта odnoklassniki.ru (http://odnoklassniki.ru) , содержащую номер сессии. Если жертва открывала ссылку, и вводила свой адрес электронной почты и пароль для авторизации, следующий пользователь, открывший эту же ссылку с номером сессии, оказывался на сайте под именем последнего посетителя с правами полного доступа к его профилю.
Портал "Одноклассники.ру" входит в тройку самых популярных российских социальных сетей. Проект запущен в марте 2006 года и предназначен, как следует из названия, для поиска и переписки с одноклассниками, сокурсниками и коллегами по работе. На данный момент социальная сеть насчитывает пять миллионов пользователей.
www.securitylab.ru
Ошибка заключалась в сохранении сервером сессии пользователя (уникального кода, создаваемого при авторизации). Злоумышленник мог отправить кому-либо ссылку на страницу любого пользователя сайта odnoklassniki.ru (http://odnoklassniki.ru) , содержащую номер сессии. Если жертва открывала ссылку, и вводила свой адрес электронной почты и пароль для авторизации, следующий пользователь, открывший эту же ссылку с номером сессии, оказывался на сайте под именем последнего посетителя с правами полного доступа к его профилю.
Портал "Одноклассники.ру" входит в тройку самых популярных российских социальных сетей. Проект запущен в марте 2006 года и предназначен, как следует из названия, для поиска и переписки с одноклассниками, сокурсниками и коллегами по работе. На данный момент социальная сеть насчитывает пять миллионов пользователей.
www.securitylab.ru