Websecurity - Веб безпека

Як я писав в своїй статті Редиректори: прихована загроза, в Mozilla Firefox можливі атаки міжсайтового скриптінга через jar: URI.

Дану уразливість виявив Petko D. Petkov aka PDP ще в 2007 році (тоді не знайшов часу про це написати, але уразливість достатньо цікава). Використовуючи jar: URI можна виконати код у контексті сайта, що дозволяє аплоадінг файлів (таких як JAR, ZIP, DOC та інших типів файлів, що являють собою архів).

Після чого Beford виявив, що в Firefox можна використати дану уразливість разом з редиректорами для проведення XSS атак через jar: URI без необхідності завантаження файлів на дані сайти. Уразливість була виправлена в Firefox 2.0.0.10 та SeaMonkey 1.1.7.

• Web Mayhem: Firefox’s JAR: Protocol issues (деталі)
• Mozilla Foundation Security Advisory 2007-37 (деталі)

This entry was posted on 19:39 30.09.2009 and is filed under Новини, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.