POGODA

Reklama


Wydarzenia

wp.pl • Sobota [11.04.2009, 08:00:48] • Świat

Poważne zagrożenie na Naszej-Klasie: nie otwieraj linków

Poważne zagrożenie na Naszej-Klasie: nie otwieraj linków

fot. internet

Nasz czytelnik, posługujący się pseudonimem Devnul, przysłał nam informację o znalezionej przez siebie usterce w popularnym serwisie społecznościowym nasza-klasa.pl. Komunikat dotyczący tej luki pojawił się też wcześniej w serwisie hack.pl.

Problem

Przyczyną problemu jest skrypt /hitcount/2f służący najprawdopodobniej do zliczania odwiedzin w ramach któregoś z programów partnerskich. Przekazując mu odpowiedni parametr u, użytkownik jest w stanie zmusić aplikację do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.

Zagrożenie

Znaleziona usterka pozwala wprowadzić użytkownika w błąd przez wysłanie mu odnośnika prowadzącego rzekomo do zasobu zlokalizowanego w serwisie nasza-klasa.pl. Dzięki temu potencjalny napastnik jest w stanie pomóc sobie w dokonywaniu ataków CSRF i XSS. Obawiać powinni się przede wszystkim właściciele aktywnych urządzeń sieciowych wyposażonych w interfejs WWW, ponieważ otrzymany link może prowadzić do sekcji zmieniającej ustawienia. Przykład odnośnika: http://www.nasza-klasa.pl/hitcount/2f?u=http:%2f%2heise-security.pl

Intruz, wykorzystując otwarte przekierowanie, mógłby pokusić się o stworzenie skryptu JavaScript, który przy użyciu obiektowego modelu dokumentu (DOM) odczytywałby umieszczone w kodzie strony tokeny autoryzujące i automatycznie wykonywał pewne czynności w imieniu użytkownika. Jednak uniemożliwiają to umieszczone w serwisie zabezpieczenia polegające na przeładowywaniu dokumentu macierzystego z poziomu skryptu w ramce.

Ochrona

Do czasu usunięcia usterki nie należy otwierać linków o podejrzanie wyglądającej treści, które rozpoczynają się adresem http://nasza-klasa.pl/. W przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

Aktualizacja (10-04-2009 15:09)
Wyeliminowano znaleziony w serwisie nasza-klasa.pl błąd pozwalający na tworzenie spreparowanych odnośników prowadzących do dowolnej lokalizacji. Programiści serwisu usunęli otwarty redirect i opisywana luka została zamknięta. Należy jednak pamiętać, iż w przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.

źródło: www.wp.pl


wp.pl
komentarzy: 7, skomentuj, drukuj, udostępnij

Twoim Zdaniem

Dodaj Komentarz

Dodając komentarz akceptujesz
Regulamin oraz Politykę prywatności.

Zauważyłeś błąd lub komentarz niezgodny z regulaminem?
 
Oglądasz 1-7 z 7

Sortuj wg daty
Gość • Czwartek [16.04.2009, 22:07:05] • [IP: 80.245.186.***]

a slowa >uRzywaja< analfabeci :S

Gość • Czwartek [16.04.2009, 20:28:51] • [IP: 87.205.74.***]

Andrzeju. !! L.O.L. ?? haha wiem że to ty. :)

Gość • Czwartek [16.04.2009, 15:28:12] • [IP: 88.156.235.**]

Słowa lol urzywaja świnoujskie prostaczki ;)

Gość • Sobota [11.04.2009, 21:08:05] • [IP: 217.97.193.**]

eee tam.. epuls juz mnie nie bawi. jakos glupio sie na nim zrobilo ; D

Gość • Sobota [11.04.2009, 17:08:58] • [IP: 93.94.184.***]

lepszy EPULS !! KTO MI DA DYSZKĘ I CAŁUSKA

Gość • Sobota [11.04.2009, 14:56:06] • [IP: 80.245.186.***]

co to znaczy lol?

Gość • Sobota [11.04.2009, 11:01:37] • [IP: 86.155.7.***]

* chcialbys byc hakerem, ale z poziomu zera to bedzie trudne. najpierw zacznij od macierzy. a o javie w nk pisal onet i to oni sie podpisali ze uzytkownik im wyslal problem a nie jakiejs stronie iswinoujscie. lol

Oglądasz 1-7 z 7
■ Wiesz o czymś o czym my nie wiemy? Napisz! kontakt@iswinoujscie.pl lub wyślij mms na numer 602 657 344 ■ Wiesz o czymś o czym my nie wiemy? Napisz! kontakt@iswinoujscie.pl lub wyślij mms na numer 602 657 344 ■ Wiesz o czymś o czym my nie wiemy? Napisz! kontakt@iswinoujscie.pl lub wyślij mms na numer 602 657 344 ■ Wiesz o czymś o czym my nie wiemy? Napisz! kontakt@iswinoujscie.pl lub wyślij mms na numer 602 657 344 ■ Wiesz o czymś o czym my nie wiemy? Napisz! kontakt@iswinoujscie.pl lub wyślij mms na numer 602 657 344 ■ Wiesz o czymś o czym my nie wiemy? Napisz! kontakt@iswinoujscie.pl lub wyślij mms na numer 602 657 344 ■ Wiesz o czymś o czym my nie wiemy? Napisz! kontakt@iswinoujscie.pl lub wyślij mms na numer 602 657 344
■ W 2026 roku zmiana czasu z zimowego na letni nastąpi w nocy z soboty 28 marca na niedzielę 29 marca. Dokładnie o godzinie 2:00 przesuwamy wskazówki zegara na 3:00, co oznacza, że tej nocy śpimy o godzinę krócej ■ Pragniemy poinformować o utrudnieniach w tunelu z powodu realizacji prac gwarancyjnych na wniosek Generalnego Wykonawcy: 20/21.03.2026 r. - 22:00 - 5:00 ruch wahadłowy, prace iniekcyjne doszczelniające w przestrzeni jezdni; 27/28.03.2026 r. - 22:00 - 5:00 ruch wahadłowy, prace iniekcyjne doszczelniające w przestrzeni jezdni. Podczas ruchu wahadłowego prom Bielik na przeprawie Warszów będzie w gotowości. W przypadku jakichkolwiek zmian będziemy informowali na bieżąco ■ Na wyspie Wolin potwierdzono przypadki afrykańskiego pomoru świń (ASF) u dzików. Jak informuje Powiatowy Inspektorat Weterynarii w Kamieniu Pomorskim, dodatnie wyniki badań stwierdzono już u kilku zwierząt znalezionych na podmokłych terenach w gminie Wolin ■ Zakład Wodociągów i Kanalizacji w Świnoujściu poinformował o planowanej przerwie w dostawie wody, która nastąpi w poniedziałek 12 marca 2026 roku, w godzinach 08:00–11:00. Utrudnienia będą związane z usuwaniem awarii zasuw wodociągowych przy ulicy Wojska Polskiego (osiedle Platan). Przerwa w dostawie wody obejmie budynki położone: - przy ulicy Wojska Polskiego - numery: 2, 4, 6, 8, 10, 12; - przy ulicy Chełmońskiego - numery: 2, 4, 6. ■