Дмитрий Савватеев (savvdm) wrote,
Дмитрий Савватеев
savvdm

"дырка" в ЖЖ (уже заделана)

Прочитал сегодня про XSS-уязвимость, обнаруженную в ЖЖ.



С помощью такой штуки можно "увести" у человека его журнал. Присылают вам, к примеру, ссылку на интересный (якобы) ресурс. Или вы сами находите такую ссылку в инете (где угодно). Переходите по ней, ничего не подозревая. А "добрые люди" при этом получают доступ к вашему журналу. Могут писать от вашего имени, поменять пароль, и т.п.

100% защита от этого связана с отключением в браузере JavaScript. При этом перестанут нормально работать большинство сайтов. Так что, это, на мой взгляд, не решение. Можно посоветовать всегда смотреть, куда "указывает" ссылка. К сожалению, "вредную" ссылку не всегда легко распознать (хакеры об этом позаботятся).

Пока писал, "дырку" уже заделали. Молодцы!
Так что описанное ниже, к счастью, уже не работает.


Чтобы увидеть, как это работает, скопируюте одну из ссылок, помещённых здесь (в разделе "примеры использования") в адресную строку браузера, и нажмите Enter. Попросту говоря, перейдите по такой ссылке.

Появится окошко с каким-то "мусором". Этот "мусор" называется куки. С помощью этих данных ЖЖ "помнит", что вы сейчас зарегистрированы в системе. И можете оставлять комментарии от своего имени, а также управлять своим журналом. Эти "куки" хранятся на вашем компьютере. Без этой информации вам пришлось бы заново вводить пароль при каждой операции с ЖЖ.

Хакер, конечно, не станет вам показывать такое окно. Он вместо этого вставит код, который будет "молча" посылать эти "куки" ему. А дальше он легко "станет вами" - т.е. ЖЖ его примет за вас, и позволит делать всё, что угодно. Например, сменить пароль вашего журнала. Или написать что-нибудь "смешное" от вашего имени в ваше любимое сообщество. Или вставить в ваши посты скрытые ссылки на ресурсы, которые ему надо "раскрутить". И так далее.

Надеюсь, скоро эту дырку "заделают". Но, увы, всегда могут появиться новые.
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments