Cross-site scripting na stronie Netscape Strona główna Aktualności27.07.2006 11:57 Udostępnij: O autorze Grzegorz Niemirowski Na stronie Netscape.com należącej do AOL wykryto podatność na cross-site scripting. Umożliwiało to umieszczanie własnych skryptów, które mogły np. zmieniać wygląd strony bądź też zawierać wirusy. Netscape.com jest serwisem na którym użytkownicy mogą umieszczać swoje newsy, na które można potem głosować. Okazało się, że nie było wykonywane porządne sprawdzanie tekstu wpisywanego przez użytkowników przez co można było przemycić skrypt w języku JavaScript. Błąd istniał przez kilka godzin i był wykorzystywany do umieszczania pop-upów oraz przekierowań na konkurencyjny serwis Digg. AOL twierdzi, że w tym czasie nie umieszczono na stronie żadnego szkodliwego kodu. Przy okazji warto zauważyć, że obecnie wraz ze wzrostem interaktywności stron WWW coraz łatwiej jest się na nie włamać wykorzystując błędy w ich kodzie. Oprócz wspomnianego wstrzyknięcia kodu JS bardzo często udaje się też SQL injection. Kiedyś włamywano się głównie przez błędy w serwerach WWW albo systemach operacyjnych. Dziś te sposoby tracą na znaczeniu gdyż główny wpływ na bezpieczeństwo mają skrypty wykonywane na serwerze a pisane przez webmasterów, którzy z reguły mają mniejszą wiedzę z zakresu bezpieczeństwa od administratorów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Wyciek danych z WHO i fundacji Gatesów – ciąg dalszy. Ustalono, kto udostępniał hasła 1 maj 2020 Arkadiusz Stando Internet Bezpieczeństwo Koronawirus 52 Brexit i Netscape: umowa handlowa opisuje antyki. Nadużyto "kopiuj-wklej"? 29 gru 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 59 Wyciekły dane z WHO i innych organizacji. Wśród poszkodowanych także fundacja Billa Gatesa 24 kwi 2020 Arkadiusz Stando Internet Bezpieczeństwo Koronawirus 267 Volvo V60 Cross Country: System info-rozrywki, audio Bowers & Wilkins i systemy bezpieczeństwa 19 lut Kamil Rogala TechMoto 0
Udostępnij: O autorze Grzegorz Niemirowski Na stronie Netscape.com należącej do AOL wykryto podatność na cross-site scripting. Umożliwiało to umieszczanie własnych skryptów, które mogły np. zmieniać wygląd strony bądź też zawierać wirusy. Netscape.com jest serwisem na którym użytkownicy mogą umieszczać swoje newsy, na które można potem głosować. Okazało się, że nie było wykonywane porządne sprawdzanie tekstu wpisywanego przez użytkowników przez co można było przemycić skrypt w języku JavaScript. Błąd istniał przez kilka godzin i był wykorzystywany do umieszczania pop-upów oraz przekierowań na konkurencyjny serwis Digg. AOL twierdzi, że w tym czasie nie umieszczono na stronie żadnego szkodliwego kodu. Przy okazji warto zauważyć, że obecnie wraz ze wzrostem interaktywności stron WWW coraz łatwiej jest się na nie włamać wykorzystując błędy w ich kodzie. Oprócz wspomnianego wstrzyknięcia kodu JS bardzo często udaje się też SQL injection. Kiedyś włamywano się głównie przez błędy w serwerach WWW albo systemach operacyjnych. Dziś te sposoby tracą na znaczeniu gdyż główny wpływ na bezpieczeństwo mają skrypty wykonywane na serwerze a pisane przez webmasterów, którzy z reguły mają mniejszą wiedzę z zakresu bezpieczeństwa od administratorów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji