Хакінг сайту через уразливості в коді зовнішніх систем

23:20 30.08.2006

Вчора відкрив цікавий метод експлуатації уразливостей на сайтах (навіть на статичних сторінках, без використання динаміки!), там де цих уразливостей і не було. Методика полягає в експлуатації уразливостей в коді (в JS-коді) зовнішніх систем - в моєму випадку в коді баннерної системи, котра знаходиться на відповідній сторінці сайту (котрий є цілью нашого хакінгу). Відповідно експлуатація уразливості (виконання довільного коду) відбувається в браузері жертви в контексті безпеки поточного сайту.

Тому можу заявити про можливість хакінга сайту (в даному випадку через XSS), через уразливості в коді зовнішніх систем (в коді баннерних систем і т.д.). Методика дозволяє (при наявності уразливого коду зовнішньої системи на сторінці) проводити атаки на користувачів відповідних сайтів (з числа користувачів даної системи), навіть без наявності уразливостей (XSS) безпосередньо на даних сайтах.

Зараз провожу додаткові дослідження з цього приводу :idea: (вивчаю коди різних систем).


Leave a Reply

You must be logged in to post a comment.