kot-de-azur (kot_de_azur) wrote,
kot-de-azur
kot_de_azur

Category:

Внезапно FAIL

В популярной в Рунете блог-платформе "Живой журнал" был выявлена серьезная уязвимость.

Уязвимость позволяет вставлять в посты и ленты Livejournal.com любой Javascript или HTML-код, предварительно скрыв его при помощи HTML-тегов style="display:none" и lj-embed.

Использование данной уязвимости было продемонстрировано в блоге werdender.livejournal.com. При посещении блога в любом из современных браузеров пользователь видит шуточное сообщение, закрыть которое можно, только кликнув по клавише "Ок".

"Настоящим уведомляю, что в ЖЖ есть дырка, позволяющая сильно осложнить вам жизнь. Это окошко и является тому доказательством. Опасность заключается в том, что не я, бусечка, а какой-нибудь злодей или член партии воров и жуликов могут сделать так, что вы вообще не сможете убрать это окошко, соответственно вы не сможете и читать ленточку. Так же уязвимость может использоваться различного рода спамерами и теми самыми членами партии, которые могут коварно заставить вас читать свою рекламу или предвыборную агитацию", - написал ЖЖ-пользователь werdender.

Также он сообщил о том, что уязвимость открыта уже несколько дней, однако компания Sup, которой принадлежит блог-сервис, пока не отреагировала на нее. "Первый пост об этом висит несколько дней, но портал до сих пор открыт. Засим прошу всех массово сообшить в СУП о том, что я самая что ни на есть настоящая бусечка, мне одному они не верят", - написал пользователь в сообщении, отправленном при помощи уязвимости.

По мнению директора по развитию продуктов SUP Ильи Дронова, "не совсем корректно называть данную проблему уязвимостью", поскольку встраивание javascript-кода не позволяет похищать данные и совершать другие неправомерные действия. Однако, признает Дронов, это очередной способ использования современных средств веб-разработки с целью причинения неприятностей другим пользователям. "Эта проблема существует давно и меняется с развитием технологий, но разработчики компании SUP в курсе и работают над ее устранением", - сообщил он.

Источник Журнал xakep

UPD: Пишет [info]werdender "виновник торжества": Прошлую дыру закрыли, все ОК. Но.
Это звучит смешно, но вот вам еще одна дыра. У кого то браузер сейчас блокирует всплывающие окна, а кто то опять читает мои послания аж в трех окнах (а мог бы и в трехста, и с тем же неубираемым сообщением. Или мог бы уже любоваться последними достижениями порноиндустрии).
А этого быть не должно.
Tags: новости, ужас
Subscribe

  • Ночные жители мешают спать

    Недалеко от нашего дома поселились уж очень беспокойные соседи. Как только темнеет, со стороны деревьев раздается страшное. Пронзительный писк…

  • Ирландки станцевали Step4Sheeran для Youtube

    Девушки записали видео в не совсем привычной и традиционной для них манере. Некоторые назвали это "великолепным безумием" Многие для…

  • Как вернуть бабушку на 40 лет назад?

    Хорошее видео снял дизайнер из Петербурга. Внук подарил поездку бабушке в наши горы, где она побывала в далеком 1977 году, вместе с мужем.…

promo kot_de_azur декабрь 26, 2019 10:25 18
Buy for 90 tokens
Зимой у меня мандарины всегда ассоциируются с праздником. Обычай дарить мандарины в гостях, пришел из Китая, где данный фрукт символ богатства. Ну а для меня, это еще и возможность приподнять настроение и почувствовать запах прадника. Начинаем серию Новогодних тестов. Праздничное настроение уже…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 2 comments