Błąd umożliwiający atak XSS, czyli cross-site scripting należy do najczęściej wykrywanych podatności w aplikacjach bazodanowych działających w sieci. Nie ustrzegły się go nawet największe serwisy. Iwo Graj powiadomił redakcję Dziennika Internautów o takiej właśnie luce odkrytej w serwisie Zumi, który należy do Grupy Onet.pl.
reklama
Warto odnotować, że podobne błędy Czytelnicy Dziennika Internautów znaleźli w portalu społecznościowym Nasza-Klasa (luty 2009), a także w serwisie pocztowym Onet.pl (maj 2009).
Według słów Iwo Graja luka odkryta w Zumi to typowy XSS, lecz o tyle niebezpieczny, że można ukraść sesje zalogowanego usera pochodzącego z poczty.onet.pl, jak i szerzyć botnet, jeśli ktoś ma dobrą fantazję, lub też bankery (trojany stworzone w celu kradzieży danych dostępowych do różnych systemów płatności online, internetowych serwisów bankowych itp.).
Istnienie błędu jego odkrywca kilkakrotnie zgłaszał przez ogólnodostępny formularz na stronie Zumi, za każdym razem podając swój adres e-mail i prosząc o kontakt. Do tej pory jak kamień w wodę - komentuje Graj reakcję serwisu.
W związku z zaistniałą sytuacją Dziennik Internautów przesłał informację o luce do rzecznika prasowego Grupy Onet.pl Pawła Klimiuka, prosząc o treściwy komentarz. Otrzymaliśmy dziś następujące zapewnienie:
Faktycznie mieliśmy do czynienia z opisaną przez Czytelnika luką w skryptach na becie ZumiNieruchomosci. Luka została usunięta już wczoraj. Serwis ZumiNieruchomosci wciąż jest udostępniony w wersji beta i choć funkcjonuje bardzo stabilnie i prawidłowo, obsługując (...) bazę nieruchomości, to podlega ciągłemu udoskonalaniu. Wprowadzane są również poprawki programistyczne.
W kolejnym liście do redakcji Iwo Graj potwierdził naprawienie znalezionego przez niego błędu.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*