SKY-net

LiveJournal или Живой Журнал - один из самых популярных интернет-ресурсов в мире, оказался уязвимым к межсатовому выполнению сценариев.

На сайте fuzzing.ru сообщается о наличии нескольких уязвимостей в ЖЖ, которые позволяют злоумышленнику выполнить произвольный HTML код и код сценария в браузере жертвы в контексте безопасности сайта LiveJournal.com.

• На LiveJournal.com используется уязвимая версия Web сервера Apache. Злоумышленник может с помощью специально сформированного HTTP запроса произвести XSS нападение.
• Также сообщается об ошибке проверки входных данных в параметре usejournal в сценарии update.bml. Злоумышленник может, с помощью специально сформированной ссылки, выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примеры использования:

  www.livejournal.com:80/update.bml?usejournal=>”> alert(document.cookie)%3B

  www.livejournal.com:80/update.bml?usejournal=>’> alert(document.cookie)%3B

  www.livejournal.com/update.bml?usejournal=–> alert(document.cookie)%3B

SecurityLab рекомендует всем пользователям Живого Журнала с осторожностью посещать ссылки, ведущие на сайт LiveJournal.com.

www.securitylab.ru

Опубликовано 26.12.2007 15:06 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• СУП выкупает LiveJournal у компании Six Apart
• LiveJournal защитит несовершеннолетних
• “Райффайзен Капитал” открыл свой блог в LiveJournal
• Six Apart “избавится” от LiveJournal?
• “Суп” сделал для россиян свой ЖЖ