MySpace «залатала» CSS/XSS-уязвимость: несанкционированный доступ к дневникам

MySpace в воскресенье устранила уязвимость, о которой на конференции хакеров DefCon рассказал студент Рик Дикон (Rick Deacon), и удалила его учётную запись.

Дикон обнаружил уязвимость MySpace к межсайтовому скриптингу (CSS/XSS) несколько месяцев назад. Используя специально сформированную ссылку, ведущую на MySpace, злоумышленник мог выполнить любой код на JavaScript так, будто он выполняется на сайте MySpace. Это позволяет похитить куки и получить несанкционированный доступ к дневнику жертвы.

Код содержится в одном из параметров запроса к сайту и выполняется, поскольку сайт не проводит фильтрацию значений параметров. Возможно также внедрение вредоносного кода в систему посетителя сайта, поскольку он считает источник доверенным и разрешает ему больше, чем неизвестному сайту.

Учётная запись Дикона была удалена за «нарушение условий пользования».

©  CNews