Comments 13
Может быть, стоило написать в Facebook/Instagram с сообщением о том, что у них уязвимость (пусть это и не отменяет факта, что владельцам сайтов неплохо бы проверять входящие данные)?
Писал, вот их ответ
You're correct. However, that's a problem every programmer has to face. There's a programming principle that you should always make sure data is sanitized before displaying/processing it. That responsibility falls in the hands of the developers, because only they know the context in which the data is going to be used. We do appreciate you taking the time to write your reports, but only reports that are about vulnerabilities in Facebook products and qualifying acquisitions. Please follow up with any security vulnerabilities you find.
Хм… Интересно, они напоминают об этом пользователям своего API в документации? Всё же имеет смысл предупреждать пользователей о том, какие именно данные они получают и что они могут быть небезопасными.
Это и есть их ответ на мои слова о том, что в документации нету ни слова об этом.
А на уязвимость они ответили
А на уязвимость они ответили
In these cases, the third-party app developers are responsible for properly escaping data from the Instagram API. You may want to contact the app developers, but you are correct that we do not consider this a vulnerability in Instagram
Не знают ребята, что такое имидж.
Это ни разу не их уязвимость, а обычная проблема валидации инпута. Проблемы высосана из пальца. И упоминать в документации они не обязаны об этом, также как и писать что 2+2=4
Они возвращают вам валидный json, который вы можете вывести где-то у себя на сайте. Data Validation в должна происходить на инпуте и аутпуте, как пользователь предоставил данную информацию, так они вам ее и передают.
Проверил своё творение. Я идиот :( Срочно фиксить!
Sign up to leave a comment.
XSS на сайтах, использующих Instagram API