XSS в вебвизоре

Хабы: Информационная безопасность

Здравствуйте. В конце прошлой недели я обнаружил уязвимость, которая позволяла выполнить произвольный javascript-код во время просмотра вебвизора. Естественно, первым делом я написал в саппорт и сегодня, когда я про это впомнил и решил проверить, я обнаружил, что дыру прикрыли. Вся суть была в том, что вебвизор показывал какой текст на странице пользователь выделял и никак не фильтровал эти данные. Вполне вероятно, что я не первый кто обнаружил данный баг и, возможно, кто-то им даже когда-то пользовался. Так что, если вы активно мониторили свой сайт при помощи вебвизора, то будьте внимательны — вдруг ваши данные есть уже у кого-то.
Под катом видео с процессом.
Читать дальше →

Полный текст статьи читайте на Habrahabr.ru