Websecurity - Веб безпека

Блог-сервіс Blogspot, що належить Гуглу, вразливий до Cross-Site Scripting. Про що деякий час тому повідомили декілька секюріті дослідників (раніше я вже згадував про це на сайті). Blogspot підтримує html теги і не проводить жодної валідації - тому в блогах даного сервіса можливі HTML та JavaScript ін’єкції.

Приклади ви можете подивится на спеціально створених сайтах (або ж відкрити власний блог на Блогспоті).

XSS:

http://erwingeirnaert.blogspot.com
http://xssvulnerabilities.blogspot.com (Крістіан вже прибрав js код).

Як і у випадку з XSS уразливістю в Google Apps, Гугл не виправив дірку і несерйозно відреагував на застереження спеціалістів з безпеки - заявивши, що мовляв так треба і це “не баг, а фіча” (що JavaScript код можна розміщувати на сторінці). Ось так Google турбується про безпеку користувачів і відвідувачів своїх сервісів.

This entry was posted on 22:38 03.09.2007 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.