+ Ответить в теме
Показано с 1 по 3 из 3

Тема: В livejournal научились постить левый Java-Script

  1. 17.02.2011 09:15 #1
    MoneySyst
    MoneySyst вне форума
    Administrator MoneySyst is on a distinguished road Аватар для MoneySyst
    Регистрация
    18.01.2011
    Сообщений
    1,463

    В livejournal научились постить левый Java-Script

    В ЖЖ научились постить сторонний Java-Script код. Скрытый в div со style="display:none" <lj-embed>-объект позволяет незаметно встраивать в посты и ленты livejournal.com произвольные html-страницы, с любыми ява-скриптами.

    Пример использования можно посмотреть здесь.
    Ответить с цитированием Ответить с цитированием
  2. 17.02.2011 10:19 #2
    adenaden
    adenaden вне форума
    Senior Member adenaden is on a distinguished road Аватар для adenaden
    Регистрация
    18.01.2011
    Сообщений
    976
    это вроде xss атака назывыается... говорят спецы до сих пор в социалках находят дырки, вот там бы можно было с пользой применить думаю
    Ответить с цитированием Ответить с цитированием
  3. 18.02.2011 03:48 #3
    M_script
    M_script вне форума
    Member M_script is on a distinguished road Аватар для M_script
    Регистрация
    15.02.2011
    Сообщений
    53
    Отправить сообщение для M_script с помощью ICQ
    Не так давно аналогичная уязвимость была найдена в твиттере.
    В ЖЖ нет привязки куков по IP, поэтому активная XSS там очень опасна. Пока не пофиксили, лучше с включенным JS туда не ходить.
    adenaden, для поиска таких уязвимостей особых знаний не требуется, нужно только время и терпение. Крупные веб-приложения без уязвимостей могут существовать только в мечтах их разработчиков
    Ответить с цитированием Ответить с цитированием
+ Ответить в теме
« Предыдущая тема | Следующая тема »

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения

Правила форума