Мобильный LiveInternet Внимание! XSS-уязвимость | _Persephona - реквием по мечте |

LiveInternet мобильная версия

Авторизация

Дневник _Persephona Лента друзей - Дневник - Полная версия

Внимание! XSS-уязвимость 02-02-2007 11:01 к комментариям - к полной версии - понравилось!

Внимание! XSS-уязвимость.

При регистрации новых дневников не фильтруется поле "О новом дневнике - в двух словах"
В данное поле можно ввести код сниффера, который будет забирать куки любого, кто просмотрит профиль этого пользователя.

Для непродвинутых пользователей: вы отдаёте информацию, с помощью которой можно управлять вашим дневником.

Рабочий вариант с алертом можно посмотреть здесь

В связи с массовым взломом известных дневников ЖЖ-шными троллями допускается возможность, что сниффер уже внедрен в одном из таких новых профилей.
Всем пользователям рекомендую сменить свой пароль на дневник прямо сейчас и до исправления уязвимости не шариться по незнакомым дневникам.

Просьба распространить эту информацию по своим читателям.

вверх^ к полной версии понравилось! в evernote

Комментарии (27):

stas-head 02-02-2007-11:12 удалить

Спасибо

Обратиться - Ответить - К полной версии

коричьневое_падло 02-02-2007-11:22 удалить

Good catch!

Обратиться - Ответить - К полной версии

Max_Ventura 02-02-2007-12:29 удалить

И че делать-то? Просто сменить пароль? А если еще раз в тот профиль зайти, то опять менять? И кто исправит уязвимости?

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-12:37 удалить

Уязвимости должны исправить админы ЛиРу , я не ИХ админ, а ты смени пароль и не парься, просто не болтайся пока по лтрушке и всё, Валезу напиши - пусть у него башка болит, иначе нам придется "общественный строй " менять посредством революции, а это - взлом ЛиРу и лишение прав Валеза, зачем? Он хороший!:type:

LI 5.09.15

Обратиться - Ответить - К полной версии

Max_Ventura 02-02-2007-12:45 удалить

_Persephona, где можно посмотреть рабочий вариант с алертом?

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-12:52 удалить

Max_Ventura, Вспомни мой пост с софтом жля взлома ЖЖешников, там я до последнего не выкладывала софт, нам не страшный, кстати, что будет если сюда положить вариант с алертом - представь сам.Ему - кирдык будет.

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-13:28 удалить

Max_Ventura, /users/xss_test_45/profile/

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-13:29 удалить

коричьневое_падло, /users/xss_test_45/profile/

Обратиться - Ответить - К полной версии

Абелюза_Мамай 02-02-2007-16:16 удалить

уже закрыли?

Обратиться - Ответить - К полной версии

максС 02-02-2007-19:07 удалить

_Persephona, спасибо.
А откуда информация, кстати?

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-19:13 удалить

Я там указывала, если этот профиль еще не снесли....

LI 5.09.15

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-19:24 удалить

максС, Абелюза_Мамай, Это просто тестовый профоль с инфой, снесенный,ё!

Обратиться - Ответить - К полной версии

максС 02-02-2007-19:39 удалить

Исходное сообщение _Persephona: максС, Абелюза_Мамай, Это просто тестовый профоль с инфой, снесенный,ё!

хмм... бывает, конечно, бывает...

LI 5.09.15

Обратиться - Ответить - К полной версии

максС 02-02-2007-19:56 удалить

вообще-то, есть мнение, что ничего трагического нет.
По крайней мере для тех, кто обвешан файерволлами и кто не юзает автозаполнение...

Обратиться - Ответить - К полной версии

максС 02-02-2007-20:02 удалить

Интересно все-таки, а что это за профиль, который зачистили? И кто там сидел... _Persephona, ты же должна знать.

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-20:10 удалить

максС, МВД Республики Татарстан ( шутка ) - ТЕСТОВЫЙ ПРОФИЛЬ !

Обратиться - Ответить - К полной версии

максС 02-02-2007-20:17 удалить

Вообще-то, есть и другое мнение - Файерволлы не спасут, но не спасет и смена пароля. Если в файерволле блокируются куки...
Кстати, а Валез в курсе вопроса? Почему еще не последовало официальной реакции администарции?

_Persephona, а если без шуток? Откуда ты этот тестовый профиль нарыда-то? :)

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-20:22 удалить

максС,____ Валез в курсе вопроса,а профиль был создан одним хороошим человеком КАК ТЕСТОВЫЙ, всё, больше, извините, не могу сказать.
(115x100, 3Kb)

(115x100, 3Kb)

Обратиться - Ответить - К полной версии

максС 02-02-2007-20:27 удалить

_Persephona, интересная какая история...
Ну а сама-то как думаешь, поможет смена пароля?

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-20:28 удалить

no comment

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-20:30 удалить

максС,Ничего пока не меняй - личное субьективное мнение.

Обратиться - Ответить - К полной версии

максС 02-02-2007-20:34 удалить

красивые картинки.

LI 5.09.15

Обратиться - Ответить - К полной версии

максС 02-02-2007-20:37 удалить

Исходное сообщение _Persephona: максС,Ничего пока не меняй - личное субьективное мнение.

А я пока ничего и не менял. Мне нужны более веские причины, ты уж извини. :)

LI 5.09.15

Обратиться - Ответить - К полной версии

_Persephona 02-02-2007-20:48 удалить

Исходное сообщение максС: Исходное сообщение _Persephona: максС,Ничего пока не меняй - личное субьективное мнение.

А я пока ничего и не менял. Мне нужны более веские причины, ты уж извини. :)

__И ты в этом прав.

Обратиться - Ответить - К полной версии

14-06-2009-01:52 удалить

просто no-script на фф и проблем с этим небудет :)

Обратиться - Ответить - К полной версии

_Persephona 14-06-2009-09:05 удалить

проблем с авторизацией тоже не будет, например при перебросе здесь

Обратиться - Ответить - К полной версии

_Persephona 14-06-2009-09:06 удалить

потому, что не будет возможности авторизоваться

Обратиться - Ответить - К полной версии

Комментарии (27): вверх^

Вы сейчас не можете прокомментировать это сообщение.

Дневник Внимание! XSS-уязвимость | _Persephona - реквием по мечте | Лента друзей _Persephona / Полная версия Добавить в друзья Страницы: раньше»