Comments 16
UFO just landed and posted this here
«позволяющие злоумышленникам устраивать XSS-атаки»
кто-нибудь сможет привести пример, когда модификация своей куки позволит провести атаку на кого-нибудь, кроме себя?
кто-нибудь сможет привести пример, когда модификация своей куки позволит провести атаку на кого-нибудь, кроме себя?
0
Какой-нибудь злой скрипт на стороне пользователя может отправить такую куку на сервер. Таким образом, пользователь получит злой код уже не от злого скрипта, а от благонадёжного сервера.
Хотя я не знаю, насколько реалистична такая угроза, но суть данной новости в том, что дыры надо закрывать, даже если они не критические. Комбинация нескольких некритических дыр может создать критическую уязвимость.
Хотя я не знаю, насколько реалистична такая угроза, но суть данной новости в том, что дыры надо закрывать, даже если они не критические. Комбинация нескольких некритических дыр может создать критическую уязвимость.
0
Правильно, но он получит скрипт только в случае, если у него кука модифицирована. Если у злоумышленника дотянулись руки до пользовательских кук — то уже всё что можно на клиенте доступно и так.
0
Как мне видится возможный сценарий:
— как-то внедрили скрипт, модифицирующий куку на страницу, например, товара (публичная торговая площадка, скажем, не без экранирования описания товара) — там сам по себе он никаких пользовательских данных собрать не может, лишь потому, что их там нет
— при переходе на страницу с формой оплаты изменяем action на свой и получаем, например, данные кредитки
— как-то внедрили скрипт, модифицирующий куку на страницу, например, товара (публичная торговая площадка, скажем, не без экранирования описания товара) — там сам по себе он никаких пользовательских данных собрать не может, лишь потому, что их там нет
— при переходе на страницу с формой оплаты изменяем action на свой и получаем, например, данные кредитки
+1
Наверное, скоро 1.2.3 выйдет, там пара багов в 1.2.2.
+2
как в воду глядел :)
+1
Патч откатили и переделали: code.djangoproject.com/changeset/13733
0
Sign up to leave a comment.
Релиз Django 1.2.2 — security-обновление