Активная XSS на FeedBurner

Feedburner.com – один из самых популярных среди блогеров сервисов для управления RSS-фидами. Доверие к feedburner вызывает тот факт, что этот сервис был приобретен Google и в настоящее время находится во владении интернет-гиганта. Тем не менее, у сервиса есть проблемы с безопасностью, в чем я недавно убедился. Просматривая статистику своего блога на feedburner.com, неожиданно получил javascript алерт с содержимым своих Cookie. Сначала я подумал, что это какие-то неаккуратные тесты разработчиков, однако, просмотрев исходный код страницы, обнаружил алерт в том месте, где выводилась информация о Referer пользователей, посетивших сайт. Видимо кто-то специально обратился к моему блогу с <script>alert(document.cookie)</script> в Referer, но не подозревая, что в статистике Feedburner этот HTTP-заголовок не фильтруется.
feedburnerxss
Уязвимость имеет место в статистике посещений сайта, однако для ведения этой статистики администратору необходимо установить специальный JS-код в исходник своего блога. Таким образом, XSS подвержены только те пользователи сервиса, у которых данная опция включена.
feedburner
Пока уязвимость не устранили, рекомендую блогерам снять на время галку с этого пункта. Учитывая, что это возможно неединственная уязвимость на фидбернере, также советую воспользоваться плагином NoScript для Firefox.

Join the Conversation

11 Comments

  1. Такое, кстати говоря, не редкость на всяких системах типа отечественного LI и ему подобных, ведущих статистику посещений сайтов. Нередко поле user-agent не фильтруют и т.д.

  2. Неприятно видеть, что такое есть, и приятно видеть, что такое находят наши люди =)

  3. 0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было

    <?php
    remove_filter('pre_user_description', 'wp_filter_kses');
    ?>
    
  4. а в чем смысл держать серьезный личный блог на блогосервисах?= )
    экономия средств+ соцгруппы?

    очень интересно поискать незакрытые активки, выделить группы для спама и многопоточно кинуть ссылки на доры/трамплины
    вот вам raz0r и seo….=)

  5. @lisa99
    ммм… feedburner – это несколько иной сервис, он предоставляет статистику фидов, но не платформу для ведения блогов. У меня standalone-блог 😉
    Насчет спама: гугл эти ссылки не увидит, так как весь функционал сервиса находится в личном кабинете.

  6. Да, сеошники feedburner чаще используют для кросспостинга, ускорения индексации, прокачки пр и тд.
    По поводу блогосервиса под проект- уже сама не понимаю сейчас о чем это, видимо наспех..=\

    Что касается получения кукисов – если на аккаунте гугла нет ничего, кроме сайта, то чем это грозит?

  7. 0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было

    жесть, блин. это типа посчитал “ну кому мой сервис надо-то”…

  8. >жесть, блин. это типа посчитал “ну кому мой сервис надо-то”…

    кто, гугл? непонятно…))

Leave a comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.