Zumi łata lukę znalezioną przez Czytelnika DI

10-07-2009, 16:34

Błąd umożliwiający atak XSS, czyli cross-site scripting należy do najczęściej wykrywanych podatności w aplikacjach bazodanowych działających w sieci. Nie ustrzegły się go nawet największe serwisy. Iwo Graj powiadomił redakcję Dziennika Internautów o takiej właśnie luce odkrytej w serwisie Zumi, który należy do Grupy Onet.pl.

Screen pokazujący atak XSS w serwisie Zumi
fot. DI - Screen pokazujący atak XSS w serwisie Zumi
Iwo Graj przysłał do DI dosyć szczegółowy opis znalezionej podatności, wykonał też zrzut ekranu obrazujący jej wykorzystanie (do obejrzenia obok). Test został przeprowadzony na zalogowanym użytkowniku, którego specjalnie założyłem. Błąd występuje w kilku miejscach w tej samej aplikacji dotyczącej Nieruchomości - wyjaśnia odkrywca luki.

Warto odnotować, że podobne błędy Czytelnicy Dziennika Internautów znaleźli w portalu społecznościowym Nasza-Klasa (luty 2009), a także w serwisie pocztowym Onet.pl (maj 2009).

Według słów Iwo Graja luka odkryta w Zumi to typowy XSS, lecz o tyle niebezpieczny, że można ukraść sesje zalogowanego usera pochodzącego z poczty.onet.pl, jak i szerzyć botnet, jeśli ktoś ma dobrą fantazję, lub też bankery (trojany stworzone w celu kradzieży danych dostępowych do różnych systemów płatności online, internetowych serwisów bankowych itp.).

Istnienie błędu jego odkrywca kilkakrotnie zgłaszał przez ogólnodostępny formularz na stronie Zumi, za każdym razem podając swój adres e-mail i prosząc o kontakt. Do tej pory jak kamień w wodę - komentuje Graj reakcję serwisu.

W związku z zaistniałą sytuacją Dziennik Internautów przesłał informację o luce do rzecznika prasowego Grupy Onet.pl Pawła Klimiuka, prosząc o treściwy komentarz. Otrzymaliśmy dziś następujące zapewnienie:

Faktycznie mieliśmy do czynienia z opisaną przez Czytelnika luką w skryptach na becie ZumiNieruchomosci. Luka została usunięta już wczoraj. Serwis ZumiNieruchomosci wciąż jest udostępniony w wersji beta i choć funkcjonuje bardzo stabilnie i prawidłowo, obsługując (...) bazę nieruchomości, to podlega ciągłemu udoskonalaniu. Wprowadzane są również poprawki programistyczne.

W kolejnym liście do redakcji Iwo Graj potwierdził naprawienie znalezionego przez niego błędu.


Źródło: DI24.pl
Tematy pokrewne:  

tag Zumitag XSStag Onet.pltag lukitag cross-site scripting
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031