Нажмите CTRL-D чтобы добавить нас в закладки
Внимание! Вы находитесь в незащищенном режиме (HTTP). Для перехода в защищенный режим SSL, нажмите здесь
HackZone.RU - LinkedIn закрыла хранимую XSS-уязвимость
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

LinkedIn закрыла хранимую XSS-уязвимость

25.11.2015

Разработчики социального сервиса LinkedIn устранили постоянную уязвимость межсайтового скриптинга, эксплуатация которой открывала возможность для распространения червя на форумах техподдержки. Обнаруживший ее ИБ-исследователь с удовлетворением отметил, что фатальная ошибка была исправлена всего за три часа. 

Со слов Рохита Дуа (Rohit Dua), данная брешь присутствовала на портале службы техподдержки LinkedIn; для ее эксплуатации пользователю нужно было выполнить вход в соцсеть, пройти на форум и завязать дискуссию. Выполнение скрипта индийский исследователь спровоцировал с помощью короткого PoC-кода.

<Результаты публикации сообщения и выполнения сценария немедленно отображались в Help Forum -> Your Discussions, в открытом списке вопросов или на странице вопросов под тэгом участника форума>, - поясняет Дуа. Если способ эксплуатации найден, его можно использовать для создания XSS-червя.

Исследователь уведомил LinkedIn о своей находке в 11 часов вечера 16 ноября; по его данным, около двух часов ночи уязвимость уже была устранена. В ответ на запрос Threatpost представитель соцсети подтвердил внесение исправлений в связи с уязвимостью, не преминув отметить, что пользовательским данным при этом ничто не угрожало.

<Проблема, раскрытая по всем правилам, существовала на портале техподдержки, а не на головном сайте, посему риска для данных участников соцсети не было, - заявил собеседник Threatpost. - Исследователь с готовностью нам помогал, и благодаря такому сотрудничеству все было исправлено в кратчайшие сроки. Эксплойтов и злоупотреблений на портале замечено не было. Мы благодарны исследователю за прекрасный отчет и помощь в защите пользователей соцсети>.

Минувшим летом LinkedIn раскрыла детали своей программы по выплате вознаграждений за баги, запущенной в октябре 2014 года. Круг участников этой Bug Bounty изначально ограничен, однако Дуа уже попросили к ней присоединиться.


При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: DiMan
Просмотров: 1405
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...
  • Adobe прощается с Flash

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом / Аудит сайтов на заказ
  • Разное / Ищу работу » Re: Взлом емейлов, вконтакте, одноклассники
  • Разное / Куплю, приму в дар » Качественный взлом E-Mail.
  • Разное / Предложения работы » Качественный взлом E-Mail.
  • Разное / Предложения работы » HACKtheВзлом Gmail,Mail, Ya, Rambler, Yahoo, Ok ,Vk,Whatsapp
  • Разное / Ищу работу » Re: -=Мощный DDoS service/ДДоС сервис=-
  • Разное / Ищу работу » Re: Взлом почты - mail,yandex,rambler... и страниц соц. сете...
  • Разное / Предложения работы » Требуются люди с доступом к платежным терминалам оплаты
  • Разное / Предложения работы » нужен взлом аккаунта facebook
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам.

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}