 W portalu społecznościowym nasza-klasa.pl odkryto lukę bezpieczeństwa. Znajduje się ona prawdopodobnie w skrypcie /hitcount/2f służącym do zliczania odwiedzin w ramach programu partnerskiego. Wykryta luka umożliwia poprzez przekazanie odpowiedniego parametru u, zmuszenie aplikacji do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.
Luka ta pozwala na wprowadzenie użytkownika w błąd i ułatwia atak CSRF i XSS. Do czasu rozwiązania problemu zachęca się nie otwierać linków o podejrzanym wyglądzie, które rozpoczynają się adresem http://nasza-klasa.pl/, a w przypadku otwierania jakichkolwiek adresów, należy sprawdzić czy prowadzą one do właściwej witryny.
Źródło: http://www.heise-online.pl/ |
