JIenpukoH3 фев 2015 в 09:23

XSS на сайтах, использующих Instagram API

3 мин

19K

Информационная безопасность *

Из песочницы

+40

Комментарии 13

ingumsky 3 фев 2015 в 11:48

Может быть, стоило написать в Facebook/Instagram с сообщением о том, что у них уязвимость (пусть это и не отменяет факта, что владельцам сайтов неплохо бы проверять входящие данные)?

JIenpukoH 3 фев 2015 в 11:49

Писал, вот их ответ

You're correct. However, that's a problem every programmer has to face. There's a programming principle that you should always make sure data is sanitized before displaying/processing it. That responsibility falls in the hands of the developers, because only they know the context in which the data is going to be used. We do appreciate you taking the time to write your reports, but only reports that are about vulnerabilities in Facebook products and qualifying acquisitions. Please follow up with any security vulnerabilities you find.

ingumsky 3 фев 2015 в 11:53

Хм… Интересно, они напоминают об этом пользователям своего API в документации? Всё же имеет смысл предупреждать пользователей о том, какие именно данные они получают и что они могут быть небезопасными.

JIenpukoH 3 фев 2015 в 11:54

Это и есть их ответ на мои слова о том, что в документации нету ни слова об этом.

А на уязвимость они ответили

In these cases, the third-party app developers are responsible for properly escaping data from the Instagram API. You may want to contact the app developers, but you are correct that we do not consider this a vulnerability in Instagram

ingumsky 3 фев 2015 в 11:55

Понятно. Спасибо вам, что прояснили ситуацию.

cyber_detective 4 фев 2015 в 12:38

Не знают ребята, что такое имидж.

Homakov 4 фев 2015 в 08:44

Это ни разу не их уязвимость, а обычная проблема валидации инпута. Проблемы высосана из пальца. И упоминать в документации они не обязаны об этом, также как и писать что 2+2=4

stan_jeremy 3 фев 2015 в 14:21

Они возвращают вам валидный json, который вы можете вывести где-то у себя на сайте. Data Validation в должна происходить на инпуте и аутпуте, как пользователь предоставил данную информацию, так они вам ее и передают.