Главная страница
О проекте Навигация Контакт
Поиск


ru.internet.security

 
 - RU.INTERNET.SECURITY ---------------------------------------------------------
 From : Dmitry Leonov                        2:5020/400     04 May 2003  04:34:55
 To : All
 Subject : Russian Security Newsline 04.05.2003
 -------------------------------------------------------------------------------- 
 
 Приветствую!
   
 Russian Security Newsline 04.05.2003
 
 Уязвимость Cross-site scripting на HotBox.Ru
 dl // 03.05.03 23:51 
 Hайденный XSS содержится в механизме просмотра писем через веб-интерфейс
 почтового портала. Engine сервера удачно фильтрует теги типа
 <sсript>,
 однако не проверяет тег <A> на внедрение спецсимволов типа " или '
 . В
 итоге, можно послать на любой почтовый ящик HotBox письмо, содержащее в
 теле
 специальным образом сформированную ссылку через тег <A>, и при
 открытии
 такого письма через веб-интерфейс Хотбокса исполнится javаsсript,
 внедрЛнный
 через эту ссылку.
 
  
 Дальнейшее - дело техники и фантазии атакующего. Hапример, неплохо
 работает вариант с вставкой внутрь тега
 <A> кода типа OnMouseOver='javаsсript:alert(document.cookie);',
 для усугубления можно, во-первых, замаскировать ссылку с помощью задания
 ей такого же цвета, как и 
 у фона, а также с помощью стилей распространить ее действие на все окно.
 
  
 Администрация извещена, обещано исправление в ближайшее время.
  
 Источник:  
 -----------------------------
 Безопасная реализация TCP/IP
 cybervlad // 30.04.03 13:54 
 LynuxWorks (TM) анонсировала реализацию стека TCP/IP для критичных (с
 точки зрения безопасности) приложений. Реализация соответствует DO-178B
 Level A - стандарту де-факто, разработанному Radio Technical Commission
 for Aeronautics (http://www.rtca.org/).
 
  
 Источник: http://www.lynuxworks.com/corporate/news/press/2003/042303b.php3 
 -----------------------------
 Также в выпуске:
 
 Альтернативный взгляд на закон Мура
 (http://www.bugtraq.ru/rsn/archive/2003/04/28.html) // 30.04.03 13:33
 Кто будет фиксить фиксы?
 (http://www.bugtraq.ru/rsn/archive/2003/04/27.html) // 30.04.03 13:26
 Переполнение буфера в Oracle
 (http://www.bugtraq.ru/rsn/archive/2003/04/26.html) // 29.04.03 20:56
  Третья пятерка из рейтинга статей: 
 [ http://www.bugtraq.ru/library/rating/ ]
  Страшный баг в Windows [8.8] 
 [ http://www.bugtraq.ru/review/selecta/wmtimer.html ]
 
  Задраить все форточки! [8.69] 
 [ http://bugtraq.ru/library/internals/shut.html ]
 
  Вирусы на службе силовых ведомств [8.62] 
 [ http://www.bugtraq.ru/library/security/luka/viruses.html ]
 
  Бут-вирус под Windows'98: старые звери в новом лесу [8.25] 
 [ http://www.bugtraq.ru/library/internals/boot.html ]
 
  "Проблема кодировок": стечение обстоятельств или стратегический замысел? [8.23]
 
 [ http://bugtraq.ru/library/misc/encoding.html ]
 Ведущие рассылки: 
 Владислав Мяснянкин, http://cybervlad.port5.com 
 Дмитрий Леонов, http://www.bugtraq.ru 
 
 --- ifmail v.2.15dev5
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Russian Security Newsline 04.05.2003   Dmitry Leonov   04 May 2003 04:34:55 
Архивное /ru.internet.security/92124dc388a1.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional