XSS на Livejournal.com

20:45 27.12.2007

Нещодавно мені повідомив читач мого сайту про Cross-Site Scripting уразливість на популярному блог сервіс Livejournal.com. Як я вчора перевірив, уразливість мала місце. На сайті LJ на сторінці update.bml була reflected та DOM based XSS в параметрі usejournal.

XSS:

http://www.livejournal.com/update.bml?usejournal=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Коли я сьогодні вирішив написати про це, вияснилось, що власники Livejournal вже виправили цю дірку (їм явно про неї повідомили). Але я швиденько знайшов дві нові XSS ;-) , про які повідомлю найближчим часом.

Також сайт вразливий до Expect HTML Injection і ця дірка досі не виправлена. Так що власникам Livejournal потрібно краще слідкувати за безпекою власного сервісу.


Leave a Reply

You must be logged in to post a comment.