Feedburner.com – один из самых популярных среди блогеров сервисов для управления RSS-фидами. Доверие к feedburner вызывает тот факт, что этот сервис был приобретен Google и в настоящее время находится во владении интернет-гиганта. Тем не менее, у сервиса есть проблемы с безопасностью, в чем я недавно убедился. Просматривая статистику своего блога на feedburner.com, неожиданно получил javascript алерт с содержимым своих Cookie. Сначала я подумал, что это какие-то неаккуратные тесты разработчиков, однако, просмотрев исходный код страницы, обнаружил алерт в том месте, где выводилась информация о Referer пользователей, посетивших сайт. Видимо кто-то специально обратился к моему блогу с <script>alert(document.cookie)</script> в Referer, но не подозревая, что в статистике Feedburner этот HTTP-заголовок не фильтруется.
Уязвимость имеет место в статистике посещений сайта, однако для ведения этой статистики администратору необходимо установить специальный JS-код в исходник своего блога. Таким образом, XSS подвержены только те пользователи сервиса, у которых данная опция включена.
Пока уязвимость не устранили, рекомендую блогерам снять на время галку с этого пункта. Учитывая, что это возможно неединственная уязвимость на фидбернере, также советую воспользоваться плагином NoScript для Firefox.
Активная XSS на FeedBurner
Comments
11 responses to “Активная XSS на FeedBurner”
-
Такое, кстати говоря, не редкость на всяких системах типа отечественного LI и ему подобных, ведущих статистику посещений сайтов. Нередко поле user-agent не фильтруют и т.д.
-
o_O
Я это так спалился со своими заголовками… (: -
Теперь все ясно =)
-
Неприятно видеть, что такое есть, и приятно видеть, что такое находят наши люди =)
-
ппц… не в тему но дожили
http://wordpress.org/extend/plugins/weasels-html-bios/
Плагин посволяет использовать HTML теги в полях для регистрации пользователя (Имя, Фамилия и т.д.)
Как написано в его описании %)
-
0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было
<?php remove_filter('pre_user_description', 'wp_filter_kses'); ?> -
а в чем смысл держать серьезный личный блог на блогосервисах?= )
экономия средств+ соцгруппы?очень интересно поискать незакрытые активки, выделить группы для спама и многопоточно кинуть ссылки на доры/трамплины
вот вам raz0r и seo….=) -
@lisa99
ммм… feedburner – это несколько иной сервис, он предоставляет статистику фидов, но не платформу для ведения блогов. У меня standalone-блог 😉
Насчет спама: гугл эти ссылки не увидит, так как весь функционал сервиса находится в личном кабинете. -
Да, сеошники feedburner чаще используют для кросспостинга, ускорения индексации, прокачки пр и тд.
По поводу блогосервиса под проект- уже сама не понимаю сейчас о чем это, видимо наспех..=\Что касается получения кукисов – если на аккаунте гугла нет ничего, кроме сайта, то чем это грозит?
-
0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было
жесть, блин. это типа посчитал “ну кому мой сервис надо-то”…
-
>жесть, блин. это типа посчитал “ну кому мой сервис надо-то”…
кто, гугл? непонятно…))
Leave a Reply