Активная XSS на FeedBurner

Feedburner.com — один из самых популярных среди блогеров сервисов для управления RSS-фидами. Доверие к feedburner вызывает тот факт, что этот сервис был приобретен Google и в настоящее время находится во владении интернет-гиганта. Тем не менее, у сервиса есть проблемы с безопасностью, в чем я недавно убедился. Просматривая статистику своего блога на feedburner.com, неожиданно получил javascript алерт с содержимым своих Cookie. Сначала я подумал, что это какие-то неаккуратные тесты разработчиков, однако, просмотрев исходный код страницы, обнаружил алерт в том месте, где выводилась информация о Referer пользователей, посетивших сайт. Видимо кто-то специально обратился к моему блогу с <script>alert(document.cookie)</script> в Referer, но не подозревая, что в статистике Feedburner этот HTTP-заголовок не фильтруется.
feedburnerxss
Уязвимость имеет место в статистике посещений сайта, однако для ведения этой статистики администратору необходимо установить специальный JS-код в исходник своего блога. Таким образом, XSS подвержены только те пользователи сервиса, у которых данная опция включена.
feedburner
Пока уязвимость не устранили, рекомендую блогерам снять на время галку с этого пункта. Учитывая, что это возможно неединственная уязвимость на фидбернере, также советую воспользоваться плагином NoScript для Firefox.


11 комментариев

  1. Digimortal, 13. января 2009, 14:54

    Такое, кстати говоря, не редкость на всяких системах типа отечественного LI и ему подобных, ведущих статистику посещений сайтов. Нередко поле user-agent не фильтруют и т.д.

     
  2. Wergon, 14. января 2009, 16:24

    o_O
    Я это так спалился со своими заголовками… (:

     
  3. Raz0r, 14. января 2009, 18:14

    Теперь все ясно =)

     
  4. bet, 16. января 2009, 3:34

    Неприятно видеть, что такое есть, и приятно видеть, что такое находят наши люди =)

     
  5. bet, 16. января 2009, 3:43

    ппц… не в тему но дожили

    http://wordpress.org/extend/plugins/weasels-html-bios/

    Плагин посволяет использовать HTML теги в полях для регистрации пользователя (Имя, Фамилия и т.д.)

    Как написано в его описании %)

     
  6. Raz0r, 16. января 2009, 17:42

    0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было

    <?php
    remove_filter('pre_user_description', 'wp_filter_kses');
    ?>
    
     
  7. lisa99, 8. марта 2009, 12:01

    а в чем смысл держать серьезный личный блог на блогосервисах?= )
    экономия средств+ соцгруппы?

    очень интересно поискать незакрытые активки, выделить группы для спама и многопоточно кинуть ссылки на доры/трамплины
    вот вам raz0r и seo….=)

     
  8. Raz0r, 8. марта 2009, 15:20

    @lisa99
    ммм… feedburner — это несколько иной сервис, он предоставляет статистику фидов, но не платформу для ведения блогов. У меня standalone-блог 😉
    Насчет спама: гугл эти ссылки не увидит, так как весь функционал сервиса находится в личном кабинете.

     
  9. lisa99, 18. мая 2009, 21:54

    Да, сеошники feedburner чаще используют для кросспостинга, ускорения индексации, прокачки пр и тд.
    По поводу блогосервиса под проект- уже сама не понимаю сейчас о чем это, видимо наспех..=\

    Что касается получения кукисов — если на аккаунте гугла нет ничего, кроме сайта, то чем это грозит?

     
  10. Spider Agent, 11. июня 2009, 2:04

    0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было

    жесть, блин. это типа посчитал «ну кому мой сервис надо-то»…

     
  11. lisa99, 3. июля 2009, 6:10

    >жесть, блин. это типа посчитал “ну кому мой сервис надо-то”…

    кто, гугл? непонятно…))

     

Write a comment: