 W portalu spo�eczno�ciowym nasza-klasa.pl odkryto luk� bezpiecze�stwa. Znajduje si� ona prawdopodobnie w skrypcie /hitcount/2f s�u��cym do zliczania odwiedzin w ramach programu partnerskiego. Wykryta luka umo�liwia poprzez przekazanie odpowiedniego parametru u, zmuszenie aplikacji do wys�ania klientowi nag��wka Location, kt�ry przekieruje przegl�dark� pod dowolny adres.
Luka ta pozwala na wprowadzenie u�ytkownika w b��d i u�atwia atak CSRF i XSS. Do czasu rozwi�zania problemu zach�ca si� nie otwiera� link�w o podejrzanym wygl�dzie, kt�re rozpoczynaj� si� adresem http://nasza-klasa.pl/, a w przypadku otwierania jakichkolwiek adres�w, nale�y sprawdzi� czy prowadz� one do w�a�ciwej witryny.
�r�d�o: http://www.heise-online.pl/ |
