Уразливості в багатьох банерних системах
23:55 27.02.2010Подібно до уразливостей на cpmstar.com, www.banner.kiev.ua, c8.net.ua, www.abn-ad.com та в банерних системах на движках phpAdsNew, OpenAds та OpenX, також є уразливості в багатьох інших банерних системах.
В рекламному брокері http://prospero.ru, який надає можливість медійної реклами (в тому числі й за допомогою флеш банерів), є тіж самі уразливості у флешках. На даному сайті я вже давно виявив Cross-Site Scripting уразливості. Які мають місце з 2005 року, як цей брокер розпочав роботу. Тобто весь цей час на сайті є XSS уразливості у всіх флеш банерах усіх рекламодавців.
XSS атака (strictly social XSS) можлива через параметр jump (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.
XSS:
Раніше дана атака працювала в усіх браузерах. Зараз, як я перевірив, через некоректні налаштування на сервері, дана атака працює лише в IE (в інших браузерах флеш банер не відображується в браузері, його можна лише скачати з сайта).