Нажмите CTRL-D чтобы добавить нас в закладки
Внимание! Вы находитесь в незащищенном режиме (HTTP). Для перехода в защищенный режим SSL, нажмите здесь
HackZone.RU - LinkedIn закрыла хранимую XSS-уязвимость Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

LinkedIn закрыла хранимую XSS-уязвимость

25.11.2015

Разработчики социального сервиса LinkedIn устранили постоянную уязвимость межсайтового скриптинга, эксплуатация которой открывала возможность для распространения червя на форумах техподдержки. Обнаруживший ее ИБ-исследователь с удовлетворением отметил, что фатальная ошибка была исправлена всего за три часа. 

Со слов Рохита Дуа (Rohit Dua), данная брешь присутствовала на портале службы техподдержки LinkedIn; для ее эксплуатации пользователю нужно было выполнить вход в соцсеть, пройти на форум и завязать дискуссию. Выполнение скрипта индийский исследователь спровоцировал с помощью короткого PoC-кода.

<Результаты публикации сообщения и выполнения сценария немедленно отображались в Help Forum -> Your Discussions, в открытом списке вопросов или на странице вопросов под тэгом участника форума>, - поясняет Дуа. Если способ эксплуатации найден, его можно использовать для создания XSS-червя.

Исследователь уведомил LinkedIn о своей находке в 11 часов вечера 16 ноября; по его данным, около двух часов ночи уязвимость уже была устранена. В ответ на запрос Threatpost представитель соцсети подтвердил внесение исправлений в связи с уязвимостью, не преминув отметить, что пользовательским данным при этом ничто не угрожало.

<Проблема, раскрытая по всем правилам, существовала на портале техподдержки, а не на головном сайте, посему риска для данных участников соцсети не было, - заявил собеседник Threatpost. - Исследователь с готовностью нам помогал, и благодаря такому сотрудничеству все было исправлено в кратчайшие сроки. Эксплойтов и злоупотреблений на портале замечено не было. Мы благодарны исследователю за прекрасный отчет и помощь в защите пользователей соцсети>.

Минувшим летом LinkedIn раскрыла детали своей программы по выплате вознаграждений за баги, запущенной в октябре 2014 года. Круг участников этой Bug Bounty изначально ограничен, однако Дуа уже попросили к ней присоединиться.


При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: DiMan
Просмотров: 1630
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Новичкам » Re: Взлом Whatsapp.Viber.Instagram. facebook.Узнаем взломаем...
  • Взлом и безопасность / Новичкам » Re: Профессиональные услуги по взлому
  • Разное / Ищу работу » Re: Прогон 7ым XRumerоm по форумам, блогам, гостевым. ru и e...
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам.
  • Взлом и безопасность / Программы » Re: Нужен кряк на программу piosolver
  • Интернет / Разное » Услуги взлома
  • Разное / Ищу работу » Re: Пробить номер телефона, пробить информацию о человеке.
  • Разное / Ищу работу » Re: Взлом емейлов, вконтакте, одноклассники
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам.
  • Разное / Ищу работу » Re: Взлом почты mail.ru, yandex.ru, rambler, gmail

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}