Уразливості в Yandex-Direct
23:30 15.02.200718.11.2006
Деякий час тому (у вересні) я знайшов XSS уразливість на itnews.com.ua. Після додаткового досліження вияснилось, что окрім власної XSS уразливісті на даному сайті, є також ще одна уразливість (Cross-Site Scripting) - в коді Яндекс-Директ.
Про даний тип уразливостей я вже згадув в записі Хакінг сайту через уразливості в коді зовнішніх систем (подібні уразливості мають місце і в кодах інших систем, в тому числі й систем контекстної реклами, про що я ще напишу додатково). Детальна інформація про дану уразливість з’явиться пізніше (одразу за інформацією про основну XSS уразливість на itnews.com.ua).
Яндексу потрібно слідкувати за використанням кода власної системи контекстної реклами (і не допускати подібних ситуацій).
15.02.2007
Cross-Site Scripting уразливість в Яндекс-Директ коді (XSS в DOM).
На веб сторінці з кодом даної системи контекстної реклами, наприклад на сторінці з пошуком по сайту (як це було на itnews.com.ua), в будь-якому з передаваємих скрипту параметрів (або навіть в усіх параметрах) може бути уразливість, наприклад в параметрі page. Якщо він не обробляється відповідним чином.
XSS в DOM:
Всі сайти які використовують Директ можуть бути уразливими. Тому треба обробляти всі параметри, що передаються скрипту системи контекстної реклами в коді веб сторінки.
