Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   XSS на Livejournal.com (https://forum.antichat.xyz/showthread.php?t=134869)

skam777 14.08.2009 05:52
XSS на Livejournal.com
 
Livejournal.com, один из самых популярных блог сервисов в Интернете, уязвим для XSS атаки.

Описанная уязвимость может быть поэксплуатирована с помощью анонимного комментария. Эксплуатация возможно благодаря отсутствию фильтрации ссылок типа URI DATA и особенности обработки анонимного комментария (все картинки в анонимном комментарии заменяются на ссылки к картинкам).

Подробности

JavaScript может быть внедрён в ссылку через определения src в <img src=> тэге как data:text/html.

Пример

<img src=data:text/html,<html>%0D%0A<body>%0D%0A <script>alert(document.cookie)%3B<%2Fscript>%0D% 0A <body>%0D%0A<html>%0D%0A>

Данная уязвимость была закрыта производителем.

Источник: http://www.xakep.ru/post/49190/default.asp

Nightmarе 14.08.2009 06:12
А кто нашёл XSS ?

Andres 14.08.2009 12:27
Ниче се..гигант всетаки..

Stinside 14.08.2009 12:43
Действительно, само слово гигант уже говорит о защите))
Ну не в смысле XSS, а об анонимности там придется скорей всего жостко позаботится.

Цитата:
Данная уязвимость была закрыта производителем.
:D


Время: 12:56