PDA

Просмотр полной версии : В livejournal научились постить левый Java-Script



MoneySyst
17.02.2011, 09:15
В ЖЖ научились постить сторонний Java-Script код. Скрытый в div со style="display:none" <lj-embed>-объект позволяет незаметно встраивать в посты и ленты livejournal.com произвольные html-страницы, с любыми ява-скриптами.

Пример использования можно посмотреть здесь (http://werdender.livejournal.com/156432.html).

adenaden
17.02.2011, 10:19
это вроде xss атака назывыается... говорят спецы до сих пор в социалках находят дырки, вот там бы можно было с пользой применить думаю :)

M_script
18.02.2011, 03:48
Не так давно аналогичная уязвимость была найдена в твиттере.
В ЖЖ нет привязки куков по IP, поэтому активная XSS там очень опасна. Пока не пофиксили, лучше с включенным JS туда не ходить.
adenaden, для поиска таких уязвимостей особых знаний не требуется, нужно только время и терпение. Крупные веб-приложения без уязвимостей могут существовать только в мечтах их разработчиков :)