Usunięto poważną usterkę bezpieczeństwa w serwisie nasza-klasa.pl

Usunięto poważną usterkę bezpieczeństwa w serwisie nasza-klasa.pl
10.04.2009 15:54
Usunięto poważną usterkę bezpieczeństwa w serwisie nasza-klasa.pl
Źródło zdjęć: © nasza-klasa

Informowaliśmy o usterce w popularnym serwisie społecznościowym nasza-klasa.pl, dzięki której było możliwe zmuszenie serwisu do przekierowania użytkownika do strony o dowolnym adresie.

Informowaliśmy o usterce w popularnym serwisie społecznościowym nasza-klasa.pl, dzięki której było możliwe zmuszenie serwisu do przekierowania użytkownika do strony o dowolnym adresie.

Przyczyną problemu był skrypt /hitcount/2. służący najprawdopodobniej do zliczania odwiedzin w ramach któregoś z programów partnerskich. Przekazując mu odpowiedni parametr u, potencjalny napastnik mógł zmusić aplikację do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.

Zagrożenie
Znaleziona usterka pozwalała wprowadzić użytkownika w błąd przez wysłanie mu odnośnika prowadzącego rzekomo do zasobu zlokalizowanego w serwisie nasza-klasa.pl. W ten sposób niczego nie świadomy internauta mógł zostać zwabiony do domeny atakującego.

Rozwiązanie
Programiści serwisu usunęli otwarty redirect i opisywana usterka została wyeliminowana. Ochrona
W przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (5)