Добрый Админ
Регистрация: 10.5.06
Сообщений: 2470
Откуда:
|
|
прошу прощения у пользователей, но это окошко - hi - демонстрация классической уязвимости в коде статуса. Дело в том, что я когда делал статус - совершенно забыл о фильтрации выводимых данных.
В итоге хакеру достаточно было зайдя на сервер, создать там новый канал с именем например "<img src="что-то-там"></img>" или к примеру "<iframe src="что-то-там"></iframe>", при условии, что "что-то-там" - сайт этого хакера с вредоносным скриптом, чтобы этот скрипт выполнился при открытии страницы статуса. Выполнился бы он конечно только на сервере того хакера а не у тебя на компе, но эффект был бы аналогичен посещению тобой вирусного сайта.
Уязвимость можно отнести если не к критическим, то к достаточно серьезным.
Ну и спасибо бдительному товарищу, который при помощи этого окошка выявил и продемонстрировал уязвимость. Сейчас уязвимость исправлена, все входные поля контролируются и все выводимые данные безопасны. Во всяком случае, сначала mousey, а потом я - вроде я все поправили... |
|