|
|
 | |  |
| Главная » 2010 » Февраль » 16 » На сайте icq.com найдены XSS уязвимости
23:13 На сайте icq.com найдены XSS уязвимости |
Несколько дней назад на сайте icq.com было найдены две xss
уязвимости, причем обе активные.
Одна из уже закрытых уязвимостей имела места в профиле пользователей, в
поле "О себе” вашего номера. Непосредственно из ICQ клиента можно было
написать JS-код, который соответственно на странице сайта успешно
выполнялся ( http://www.icq.com/user_profile/%Ваш_номер%/ ). Сейчас
уязвимость закрыта, при чём отключением этого сервиса, то есть сейчас на
любой номер выдается ошибка 404, но работает старый вид профилей (
http://www.icq.com/people/about_me.php?uin=%Ваш_номер% ).
Вторая уязвимость присутствовала в сервисе блогов (
http://blogs.icq.com/blogs/ ), причем недостаточно фильтровалось именно
тело сообщения.
Однако похищенный cookies не позволяли ни поменять пароль ни войти на
сайт, так как по всей видимости имели привязку к IP-адресу. Казалось бы в
этом случае XSS
уязвимости абсолютно бесполезно, но не тут то было. На самом деле на
icq.com присутствует ещё один тип уязвимостей, менее используемый,
однако не менее опасный, это CSRF уязвимости. Суть уязмиости заключалась
в устновке секретных вопросов\ответов на номер, это возможно сделать
прямой ссылкой:
https://www.icq.com/password/setqa_t...it=Submit&zqq=
|
|
Категория: Хакерские новости |
Просмотров: 1002 |
Добавил: SARGE
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 | |  |
|
| Статистика сайта |
 | Комментарии: 354
Форум: 1233/3093
Новости: 423
Файлы: 136
Статей: 125
|  |
 |
| Информация |
| Ведётся набор писателей статей писать мне в ЛС или на форуме
За каждые 10 нормальных статей даю 7мизначный номер ICQ
Статьи можно копированные... | |
|
|
