Записи Друзья Комментарии
Persephona
Аватар _Persephona

 -Музыка

 -Подписка по e-mail

 

 -Поиск по дневнику

Поиск сообщений в _Persephona

 -Интересы

 -Сообщества

Читатель сообществ (Всего в списке: 1) New_Photoshopinka

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 18.01.2007
Записей:
Комментариев:
Написано: 1221


Внимание! XSS-уязвимость

Пятница, 02 Февраля 2007 г. 11:01 + в цитатник
Внимание! XSS-уязвимость.

При регистрации новых дневников не фильтруется поле "О новом дневнике - в двух словах"
В данное поле можно ввести код сниффера, который будет забирать куки любого, кто просмотрит профиль этого пользователя.

Для непродвинутых пользователей: вы отдаёте информацию, с помощью которой можно управлять вашим дневником.

Рабочий вариант с алертом можно посмотреть здесь

В связи с массовым взломом известных дневников ЖЖ-шными троллями допускается возможность, что сниффер уже внедрен в одном из таких новых профилей.
Всем пользователям рекомендую сменить свой пароль на дневник прямо сейчас и до исправления уязвимости не шариться по незнакомым дневникам.

Просьба распространить эту информацию по своим читателям.
Рубрики:  СОФТ
Метки:  

Процитировано 8 раз
Нравится

Комментировать К дневнику Страницы: [1] [Новые]
stas-head   обратиться по имени Пятница, 02 Февраля 2007 г. 11:12 (ссылка)
Спасибо
Ответить С цитатой В цитатник
коричьневое_падло   обратиться по имени Пятница, 02 Февраля 2007 г. 11:22 (ссылка)
Good catch!
Ответить С цитатой В цитатник
Max_Ventura   обратиться по имени Пятница, 02 Февраля 2007 г. 12:29 (ссылка)
И че делать-то? Просто сменить пароль? А если еще раз в тот профиль зайти, то опять менять? И кто исправит уязвимости?
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Re: Ответ в _Persephona; Внимание! XSS-уязвимость Пятница, 02 Февраля 2007 г. 12:37 (ссылка)
Уязвимости должны исправить админы ЛиРу , я не ИХ админ, а ты смени пароль и не парься, просто не болтайся пока по лтрушке и всё, Валезу напиши - пусть у него башка болит, иначе нам придется "общественный строй " менять посредством революции, а это - взлом ЛиРу и лишение прав Валеза, зачем? Он хороший!:type:

LI 5.09.15
Ответить С цитатой В цитатник
Max_Ventura   обратиться по имени Пятница, 02 Февраля 2007 г. 12:45 (ссылка)
_Persephona, где можно посмотреть рабочий вариант с алертом?
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 12:52 (ссылка)
Max_Ventura, Вспомни мой пост с софтом жля взлома ЖЖешников, там я до последнего не выкладывала софт, нам не страшный, кстати, что будет если сюда положить вариант с алертом - представь сам.Ему - кирдык будет.
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 13:28 (ссылка)
Max_Ventura, /users/xss_test_45/profile/
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 13:29 (ссылка)
коричьневое_падло, /users/xss_test_45/profile/
Ответить С цитатой В цитатник
Абелюза_Мамай   обратиться по имени Пятница, 02 Февраля 2007 г. 16:16 (ссылка)
уже закрыли?
Ответить С цитатой В цитатник
максС   обратиться по имени Пятница, 02 Февраля 2007 г. 19:07 (ссылка)
_Persephona, спасибо.
А откуда информация, кстати?
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Re: Ответ в _Persephona; Внимание! XSS-уязвимость Пятница, 02 Февраля 2007 г. 19:13 (ссылка)
Я там указывала, если этот профиль еще не снесли....

LI 5.09.15
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 19:24 (ссылка)
максС, Абелюза_Мамай, Это просто тестовый профоль с инфой, снесенный,ё!
Ответить С цитатой В цитатник
максС   обратиться по имени Re: Ответ в _Persephona; Внимание! XSS-уязвимость Пятница, 02 Февраля 2007 г. 19:39 (ссылка)
Исходное сообщение _Persephona: максС, Абелюза_Мамай, Это просто тестовый профоль с инфой, снесенный,ё!

хмм... бывает, конечно, бывает...

LI 5.09.15
Ответить С цитатой В цитатник
максС   обратиться по имени Пятница, 02 Февраля 2007 г. 19:56 (ссылка)
вообще-то, есть мнение, что ничего трагического нет.
По крайней мере для тех, кто обвешан файерволлами и кто не юзает автозаполнение...
Ответить С цитатой В цитатник
максС   обратиться по имени Пятница, 02 Февраля 2007 г. 20:02 (ссылка)
Интересно все-таки, а что это за профиль, который зачистили? И кто там сидел... _Persephona, ты же должна знать.
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 20:10 (ссылка)
максС, МВД Республики Татарстан ( шутка ) - ТЕСТОВЫЙ ПРОФИЛЬ !
(320x94, 6Kb)
Ответить С цитатой В цитатник
максС   обратиться по имени Пятница, 02 Февраля 2007 г. 20:17 (ссылка)
Вообще-то, есть и другое мнение - Файерволлы не спасут, но не спасет и смена пароля. Если в файерволле блокируются куки...
Кстати, а Валез в курсе вопроса? Почему еще не последовало официальной реакции администарции?

_Persephona, а если без шуток? Откуда ты этот тестовый профиль нарыда-то? :)
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 20:22 (ссылка)
максС,____ Валез в курсе вопроса,а профиль был создан одним хороошим человеком КАК ТЕСТОВЫЙ, всё, больше, извините, не могу сказать.
(115x100, 3Kb)
Ответить С цитатой В цитатник
максС   обратиться по имени Пятница, 02 Февраля 2007 г. 20:27 (ссылка)
_Persephona, интересная какая история...
Ну а сама-то как думаешь, поможет смена пароля?
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 20:28 (ссылка)
no comment
(320x51, 6Kb)
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Пятница, 02 Февраля 2007 г. 20:30 (ссылка)
максС,Ничего пока не меняй - личное субьективное мнение.
Ответить С цитатой В цитатник
максС   обратиться по имени Re: Ответ в _Persephona; Внимание! XSS-уязвимость Пятница, 02 Февраля 2007 г. 20:34 (ссылка)
красивые картинки.

LI 5.09.15
Ответить С цитатой В цитатник
максС   обратиться по имени Re: Ответ в _Persephona; Внимание! XSS-уязвимость Пятница, 02 Февраля 2007 г. 20:37 (ссылка)
Исходное сообщение _Persephona: максС,Ничего пока не меняй - личное субьективное мнение.

А я пока ничего и не менял. Мне нужны более веские причины, ты уж извини. :)

LI 5.09.15
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Re: Ответ в _Persephona; Внимание! XSS-уязвимость Пятница, 02 Февраля 2007 г. 20:48 (ссылка)
Исходное сообщение максС:
Исходное сообщение _Persephona: максС,Ничего пока не меняй - личное субьективное мнение.

А я пока ничего и не менял. Мне нужны более веские причины, ты уж извини. :)
__И ты в этом прав.

LI 5.09.15
Ответить С цитатой В цитатник
Аноним   обратиться по имени Воскресенье, 14 Июня 2009 г. 01:52 (ссылка)
просто no-script на фф и проблем с этим небудет :)
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Воскресенье, 14 Июня 2009 г. 09:05 (ссылка)
проблем с авторизацией тоже не будет, например при перебросе здесь
(699x393, 153Kb)
Ответить С цитатой В цитатник
_Persephona   обратиться по имени Воскресенье, 14 Июня 2009 г. 09:06 (ссылка)
потому, что не будет возможности авторизоваться
Ответить С цитатой В цитатник
Комментировать К дневнику Страницы: [1] [Новые]
 

Добавить комментарий:
Текст комментария: смайлики

Проверка орфографии: (найти ошибки)

Прикрепить картинку:

 Переводить URL в ссылку
 Подписаться на комментарии
 Подписать картинку


О проекте