Artur | Utworzono: 20 I 2010, 19:14:05 (ponad 14 lat temu)
Z ciekawości wpisałem w Bing hasło webook i trafiłem na forum hackerskie gdzie ktoś przedstawił sztuczki jak wykonać atak XSS na webooku Miło co nie?? Połatałem owe błędy, ale nie wiem czy wszystkie. Tyczyły się głównie wyświetlania tekstu w polach wyszukiwania.
Przy okazji odkryłem, że w pewnej opensource'owej klasie epager brakuje zabezpieczenia przez atakami XSS, więc takowe sobie dopisałem.
Musiałem się tym z wami podzielić A teraz więcej szczegółów...
Błąd polegał na tym, że jeśli do pola wyszukiwania wkleimy ">< script>alert('hacked');< /script> (bez spacji w script)
to wywoła się funkcja Javascript i wyskoczy okienko z napisem hacked. Także można później zamiast tej funkcji napisać coć innego, np. wykradanie ciasteczek użytkownika. Następnie wystarczy zwabić ofiarę aby weszła na spreparowany link i wykraść dane umożliwiające zalogowanie się na jej konto.
Warto zwrócić uwagę, że jeśli ktoś wykradłby takie ciasteczko to wystarczy, że użytkownik wyloguje się, wtedy sesja wygaśnie i ciasteczko będzie bezużyteczne.
Także jakby ktoś jeszcze trafił na tagi bug na stronie to proszę mnie informować postaram się zabezpieczyć. (wypowiedź modyfikowana: 20 I 2010, 19:17:00)
Odp: 0, Odsłon: 1024,
Ostatni post: brak
Odpowiedzi do tematu
Brak odpowiedzi do tego tematu...
Grupa: Oficjalna grupa webook.pl
Organizujemy tutaj konkursy. Jest to także grupa, w której można zgłaszać pomysły odnośnie portalu webook.pl. Tutaj zgłosisz nam duplikaty książek lub autorów. Możecie tutaj śmiało pisać o waszych spostrzeżeniach odnośnie projektu webook.
Typ grupy: Otwarta Dołączenie: każdy może dołączyć Założyciel:Artur Utworzono: 06 IX 2009, 21:16:29
Informacja podświetlona na zielono oznaczają, że użytkownik widział wszystkie nowe posty w tym temacie. Natomiast informacja czerwona oznacza, że jeszcze nie czytał najnowszych postów.
[XSS] Ktoś próbował hackować webooka
Miło co nie?? Połatałem owe błędy, ale nie wiem czy wszystkie. Tyczyły się głównie wyświetlania tekstu w polach wyszukiwania. 
Odp: 0, 
Odsłon: 1024,
Ostatni post: brak
