Активная XSS на FeedBurner

Feedburner.com – один из самых популярных среди блогеров сервисов для управления RSS-фидами. Доверие к feedburner вызывает тот факт, что этот сервис был приобретен Google и в настоящее время находится во владении интернет-гиганта. Тем не менее, у сервиса есть проблемы с безопасностью, в чем я недавно убедился. Просматривая статистику своего блога на feedburner.com, неожиданно получил javascript алерт с содержимым своих Cookie. Сначала я подумал, что это какие-то неаккуратные тесты разработчиков, однако, просмотрев исходный код страницы, обнаружил алерт в том месте, где выводилась информация о Referer пользователей, посетивших сайт. Видимо кто-то специально обратился к моему блогу с <script>alert(document.cookie)</script> в Referer, но не подозревая, что в статистике Feedburner этот HTTP-заголовок не фильтруется.
feedburnerxss
Уязвимость имеет место в статистике посещений сайта, однако для ведения этой статистики администратору необходимо установить специальный JS-код в исходник своего блога. Таким образом, XSS подвержены только те пользователи сервиса, у которых данная опция включена.
feedburner
Пока уязвимость не устранили, рекомендую блогерам снять на время галку с этого пункта. Учитывая, что это возможно неединственная уязвимость на фидбернере, также советую воспользоваться плагином NoScript для Firefox.


Posted

in

by

Tags:

Comments

11 responses to “Активная XSS на FeedBurner”

  1. Digimortal Avatar
    Digimortal

    Такое, кстати говоря, не редкость на всяких системах типа отечественного LI и ему подобных, ведущих статистику посещений сайтов. Нередко поле user-agent не фильтруют и т.д.

  2. Wergon Avatar
    Wergon

    o_O
    Я это так спалился со своими заголовками… (:

  3. Raz0r Avatar

    Теперь все ясно =)

  4. bet Avatar

    Неприятно видеть, что такое есть, и приятно видеть, что такое находят наши люди =)

  5. bet Avatar

    ппц… не в тему но дожили

    http://wordpress.org/extend/plugins/weasels-html-bios/

    Плагин посволяет использовать HTML теги в полях для регистрации пользователя (Имя, Фамилия и т.д.)

    Как написано в его описании %)

  6. Raz0r Avatar

    0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было

    <?php
    remove_filter('pre_user_description', 'wp_filter_kses');
    ?>
    
  7. lisa99 Avatar

    а в чем смысл держать серьезный личный блог на блогосервисах?= )
    экономия средств+ соцгруппы?

    очень интересно поискать незакрытые активки, выделить группы для спама и многопоточно кинуть ссылки на доры/трамплины
    вот вам raz0r и seo….=)

  8. Raz0r Avatar

    @lisa99
    ммм… feedburner – это несколько иной сервис, он предоставляет статистику фидов, но не платформу для ведения блогов. У меня standalone-блог 😉
    Насчет спама: гугл эти ссылки не увидит, так как весь функционал сервиса находится в личном кабинете.

  9. lisa99 Avatar

    Да, сеошники feedburner чаще используют для кросспостинга, ускорения индексации, прокачки пр и тд.
    По поводу блогосервиса под проект- уже сама не понимаю сейчас о чем это, видимо наспех..=\

    Что касается получения кукисов – если на аккаунте гугла нет ничего, кроме сайта, то чем это грозит?

  10. Spider Agent Avatar

    0_о вот это плагин, автор решил не утруждать себя, об XSS видимо в голове и мысли не было

    жесть, блин. это типа посчитал “ну кому мой сервис надо-то”…

  11. lisa99 Avatar

    >жесть, блин. это типа посчитал “ну кому мой сервис надо-то”…

    кто, гугл? непонятно…))

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.