Bugtraq: в «В контакте» оказалась уязвимой для XSS форма поиска (+)

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте и могут быть опубликованы без предварительной модерации.


Форма поиска "В контакте" оказалась уязвима. Вот откуда поток спама

Комментарий Roem.ru: на момент добавления материала уязвимость работала, выдавалось сообщение с текстом "777". Позже ссылка перестала работать

Добавить 5 комментариев

  • Ответить

    Данная XSS-уязвимость работала несколько дней и на проблему спама существенного влияния не оказывала. Она затронула незначительно количество пользователей, которым сразу же автоматически сменили пароли. Как обычно, пользователи, которые следовали нашему предупреждению не открывать ссылки на незнакомые сайты, опасности не подвергались. За трехлетнюю историю ВКонтакте всего было 3 активных XSS, что очень мало для проектов такого уровня. Каждая жила считанные дни и закрывалась в день поступления к нам информации об уязвимости. Для сравнения, на Фейсбуке могут найти сразу до четырех XSS за раз: http://news.softpedia.com/news/Four-Critical-Facebook-XSS-Flaws-Discovered-100171.shtml Но, кстати, допускаю, что у наших коллег на Одноклассниках.ру свежих XSS нет. Как только Вы перестаете модернизировать код и вводить новые возможности, проблема появления уязвимостей как бы отпадает сама собой.

  • Ответить

    @Как только Вы перестаете модернизировать код и вводить новые возможности, проблема появления уязвимостей как бы отпадает сама собой.@ Подстебнул типа, ага. :-)

  • Ответить

    На самом деле такие уязвимости — это как наказание свыше, их упустить очень легко. Все знают что они есть, и как работают, глазками смотрят и тупо не видят, а потом — бац, ой, а как это так вышло. Так что не стоит винить ВКонтакте, со всеми бывает.