Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

CSDD mājaslapas “Līgo plānotājā” atklātas drošības ievainojamības

Kategorija: Incidenti

Nezināms kantoris izveidojis CSDD mājaslapu “Līgo plānotājs”. Protams, ka ir aizdomīgi, ka daļu mājaslapas satura ielādē no kaut kāda anonīma domēna (kam whois datos neuzrādās īpašnieki), nevis no CSDD mājaslapas.

Veidotāji laikam arī uzskata, ka XSS un SQLi šai mājaslapai nav drauds.

“Līgo plānotājs” mājaslapā netiek filtrēts, kādus datus lietotājs ievada ievadlauciņos, URL adreses galā utml.
Tajā mājaslapā jebkurš interneta lietotājs var ievadīt dažādus ļauni domātus kodus, kurus izpilda pati mājaslapa, nepasargājot citus lietotājus no ļauno kodu izpildīšanās sekām.

Ieteiktu tajā mājaslapā neievadīt savus personas datus, jo tā mājaslapa nav droša un kas zina, kur jūsu dati nonāks.
Varbūt hakeru rokās?

Izskatās, ka kļūdas mājaslapā neviens arī netaisās labot.

Bez konkursa izvēlēts izstrādātājs, kam web drošības riski ir sveši.

Papildināts (Fri, 21 Jun 2013 11:21:58 +0300)
Kaut ko labo :)
Tagad ir ~tā:
KO LĪGO VAKARĀ DARĪS ALERT(XSS?)? ALERT(XSS?) SVINĒS KĀ KUNGS, BET PIE STŪRES NESĒDĪSIES!
Laikam izņēma script html tagu :)

Cerams, ka no šī gadījuma mācīsies ne tikai CSDD.

Avoti:
BlackHalt: http://blackhalt.blogspot.com/2013/06/neuzticos-csdd-majaslapai-ligo.html

2013-07-02  »  edgars

  1. A.
    2 July 2013 @ 23:54

    Alert paziņojums saka social-apps.cc, kas nav csdd.lv originā.

Re: CSDD mājaslapas “Līgo plānotājā” atklātas drošības ievainojamības







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>