Dziura w wiadomosci24.pl

Witryna wiadomosci24.pl zawiera błędy umożliwiające przejęcie konta innego użytkownika.

Serwis wiadomosci24.pl (http://wiadomosci24.pl) to przykład ciekawie i sprawnie realizowanej idei dziennikarstwa obywatelskiego. Projekt ciągle jest w testowej wersji beta i błędy są usprawiedliwione, ale powinny zostać szybko usunięte.

Możliwe jest przejęcie ciasteczek internauty odwiedzającego serwis wiadomosci24.pl. Takie dane mogą posłużyć do nieuprawnionego korzystania z cudzego konta.

Możliwe jest przejęcie ciasteczek internauty odwiedzającego serwis wiadomosci24.pl. Takie dane mogą posłużyć do nieuprawnionego korzystania z cudzego konta.

Istotny błąd zawiera główna strona wiadomosci24.pl - możliwe jest proste przejęcie zawartości ciasteczek użytkownika. Potencjalny włamywacz może w konsekwencji uzyskać dostęp do cudzego konta. Jak zwykle, o usterce poinformowaliśmy obsługę techniczną serwisu. Szczegóły dotyczące błędu podamy, gdy zostanie on usunięty.

Aktualizacja: 15 lutego 2007 10:11

Błąd w serwisie wiadomosci24.pl został usunięty. Usterka dotyczyła nieprawidłowego filtrowania znaków wprowadzanych w pole wyszukiwania na głównej stronie serwisu i kilka innych formularzy w obrębie witryny. Nieodpowiednie filtrowanie znaków wprowadzanych przez internautę pozwalało na wprowadzenie kodu w języku JavaScript, który mógł posłużyć np. do kradzież danych sesji użytkownika.


Zobacz również