Dziura w wiadomosci24.pl
-
- Paweł Brągoszewski,
- 13.02.2007, godz. 16:07
Witryna wiadomosci24.pl zawiera błędy umożliwiające przejęcie konta innego użytkownika.
Serwis wiadomosci24.pl (http://wiadomosci24.pl) to przykład ciekawie i sprawnie realizowanej idei dziennikarstwa obywatelskiego. Projekt ciągle jest w testowej wersji beta i błędy są usprawiedliwione, ale powinny zostać szybko usunięte.
Możliwe jest przejęcie ciasteczek internauty odwiedzającego serwis wiadomosci24.pl. Takie dane mogą posłużyć do nieuprawnionego korzystania z cudzego konta.
Istotny błąd zawiera główna strona wiadomosci24.pl - możliwe jest proste przejęcie zawartości ciasteczek użytkownika. Potencjalny włamywacz może w konsekwencji uzyskać dostęp do cudzego konta. Jak zwykle, o usterce poinformowaliśmy obsługę techniczną serwisu. Szczegóły dotyczące błędu podamy, gdy zostanie on usunięty.
Błąd w serwisie wiadomosci24.pl został usunięty. Usterka dotyczyła nieprawidłowego filtrowania znaków wprowadzanych w pole wyszukiwania na głównej stronie serwisu i kilka innych formularzy w obrębie witryny. Nieodpowiednie filtrowanie znaków wprowadzanych przez internautę pozwalało na wprowadzenie kodu w języku JavaScript, który mógł posłużyć np. do kradzież danych sesji użytkownika.
