codez Posted July 28, 2008 Report Share Posted July 28, 2008 Šodien pētīju nedaudz opensocial. Lieta tāda, ka opensocial tavu aplikāciju izlaižot caur savu serveri ielādē ifreimā, bet tik un tā javascriptus protams var palaist tajā ifreimā, tāpat arī tavā profilā ifreimā tiek ielādēta aplikācija. Protams nebija nemaz tik grūti tikt pie top.location='blablabla.com'; Kā rezultātā lapa vienkārši pārlādējas. Lieta tāda. Es tagad ielieku šo opensocial aplikāciju savā profilā. Cit lietotājs palūr manu profilu, bet šo uzreiz aizmet uz citu lapu, bet šī lapa izskatās pēc tā portāla ielogošanās lapas, šis padomā, ka nogļučijis un ieraksta savus logošanās datus. Ļaunais serveris ielogojas, un pieliek aplikāciju arī šim lietotājam. Šo lietotāju atkal skatās citi un viss aiziet piramīdā. Jautājums: Man tikai rādās, vai tā ir reāla opensocial ievainojamība un opensocial ir s*ds? Link to comment Share on other sites More sharing options...
andrisp Posted July 28, 2008 Report Share Posted July 28, 2008 Man nav īsti viedoklis par to vai ir vai nav, bet ja arī tā ir opensocial ievainojamība, tad ir diezgan stulbi tādēļ vien to pasludināt par sūdu. ;) Link to comment Share on other sites More sharing options...
Recommended Posts