metaclass: (Default)
metaclass ([personal profile] metaclass) wrote2005-12-27 03:56 pm
  • Add Memory
  • Share This Entry

(no subject)

Кросс-сайт скриптинг уязвимость в ЖЖ. Веселуха, блин. Эпидемия вскрытия журналофф.

Интересно, а завалить оный хост, участвующий в атаке(talakin.host.sk), закидав его запросами, часом нельзя? Они нам XSS а мы им DDoS.
Flat | Top-Level Comments Only

[identity profile] psilogic.livejournal.com 2005-12-27 02:19 pm (UTC)(link)
какая уязвимость? о чем ты?

[identity profile] metaclass.livejournal.com 2005-12-27 02:33 pm (UTC)(link)
Суть примерно такая, что при открытии чужой зараженной записи из-за не совсем корректного поведения IE выполняется скрипт, отсылающий параметры аутентификации(хэшированный пароль внутри кукисов?) на специальный хост. На хосту стоит скрипт использующий эти параметры для доступа к журналу, помещения в него новой зараженной записи уже в вашем журнале и изменения еще каких-то настроек. И так далее.

тут еще написано про это

[identity profile] psilogic.livejournal.com 2005-12-27 02:37 pm (UTC)(link)
ааа... очередная дыра в IE
*с довольным видом чешет за ушком своего Огнелиса*
Flat | Top-Level Comments Only