Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Błąd umożliwiający atak XSS, czyli cross-site scripting należy do najczęściej wykrywanych podatności w aplikacjach bazodanowych działających w sieci. Nie ustrzegły się go nawet największe serwisy. Iwo Graj powiadomił redakcję Dziennika Internautów o takiej właśnie luce odkrytej w serwisie Zumi, który należy do Grupy Onet.pl.

robot sprzątający

reklama


Screen pokazujący atak XSS w serwisie Zumi
fot. DI - Screen pokazujący atak XSS w serwisie Zumi
Iwo Graj przysłał do DI dosyć szczegółowy opis znalezionej podatności, wykonał też zrzut ekranu obrazujący jej wykorzystanie (do obejrzenia obok). Test został przeprowadzony na zalogowanym użytkowniku, którego specjalnie założyłem. Błąd występuje w kilku miejscach w tej samej aplikacji dotyczącej Nieruchomości - wyjaśnia odkrywca luki.

Warto odnotować, że podobne błędy Czytelnicy Dziennika Internautów znaleźli w portalu społecznościowym Nasza-Klasa (luty 2009), a także w serwisie pocztowym Onet.pl (maj 2009).

Według słów Iwo Graja luka odkryta w Zumi to typowy XSS, lecz o tyle niebezpieczny, że można ukraść sesje zalogowanego usera pochodzącego z poczty.onet.pl, jak i szerzyć botnet, jeśli ktoś ma dobrą fantazję, lub też bankery (trojany stworzone w celu kradzieży danych dostępowych do różnych systemów płatności online, internetowych serwisów bankowych itp.).

Istnienie błędu jego odkrywca kilkakrotnie zgłaszał przez ogólnodostępny formularz na stronie Zumi, za każdym razem podając swój adres e-mail i prosząc o kontakt. Do tej pory jak kamień w wodę - komentuje Graj reakcję serwisu.

W związku z zaistniałą sytuacją Dziennik Internautów przesłał informację o luce do rzecznika prasowego Grupy Onet.pl Pawła Klimiuka, prosząc o treściwy komentarz. Otrzymaliśmy dziś następujące zapewnienie:

Faktycznie mieliśmy do czynienia z opisaną przez Czytelnika luką w skryptach na becie ZumiNieruchomosci. Luka została usunięta już wczoraj. Serwis ZumiNieruchomosci wciąż jest udostępniony w wersji beta i choć funkcjonuje bardzo stabilnie i prawidłowo, obsługując (...) bazę nieruchomości, to podlega ciągłemu udoskonalaniu. Wprowadzane są również poprawki programistyczne.

W kolejnym liście do redakcji Iwo Graj potwierdził naprawienie znalezionego przez niego błędu.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl