Usunięto poważną usterkę bezpieczeństwa w serwisie nasza-klasa.pl
Informowaliśmy o usterce w popularnym serwisie społecznościowym nasza-klasa.pl, dzięki której było możliwe zmuszenie serwisu do przekierowania użytkownika do strony o dowolnym adresie.
10.04.2009 15:54
Informowaliśmy o usterce w popularnym serwisie społecznościowym nasza-klasa.pl, dzięki której było możliwe zmuszenie serwisu do przekierowania użytkownika do strony o dowolnym adresie.
Przyczyną problemu był skrypt /hitcount/2. służący najprawdopodobniej do zliczania odwiedzin w ramach któregoś z programów partnerskich. Przekazując mu odpowiedni parametr u, potencjalny napastnik mógł zmusić aplikację do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.
Zagrożenie
Znaleziona usterka pozwalała wprowadzić użytkownika w błąd przez wysłanie mu odnośnika prowadzącego rzekomo do zasobu zlokalizowanego w serwisie nasza-klasa.pl. W ten sposób niczego nie świadomy internauta mógł zostać zwabiony do domeny atakującego.
Rozwiązanie
Programiści serwisu usunęli otwarty redirect i opisywana usterka została wyeliminowana. Ochrona
W przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.
wydanie internetowe www.heise-online.pl
