Problem
Przyczyną problemu jest skrypt /hitcount/2f służący najprawdopodobniej do zliczania odwiedzin w ramach któregoś z programów partnerskich. Przekazując mu odpowiedni parametr u, użytkownik jest w stanie zmusić aplikację do wysłania klientowi nagłówka Location, który przekieruje przeglądarkę pod dowolny adres.
Zagrożenie
Znaleziona usterka pozwala wprowadzić użytkownika w błąd przez wysłanie mu odnośnika prowadzącego rzekomo do zasobu zlokalizowanego w serwisie nasza-klasa.pl. Dzięki temu potencjalny napastnik jest w stanie pomóc sobie w dokonywaniu ataków CSRF i XSS. Obawiać powinni się przede wszystkim właściciele aktywnych urządzeń sieciowych wyposażonych w interfejs WWW, ponieważ otrzymany link może prowadzić do sekcji zmieniającej ustawienia. Przykład odnośnika: http://www.nasza-klasa.pl/hitcount/2f?u=http:%2f%2heise-security.pl
Intruz, wykorzystując otwarte przekierowanie, mógłby pokusić się o stworzenie skryptu JavaScript, który przy użyciu obiektowego modelu dokumentu (DOM) odczytywałby umieszczone w kodzie strony tokeny autoryzujące i automatycznie wykonywał pewne czynności w imieniu użytkownika. Jednak uniemożliwiają to umieszczone w serwisie zabezpieczenia polegające na przeładowywaniu dokumentu macierzystego z poziomu skryptu w ramce.
Ochrona
Do czasu usunięcia usterki nie należy otwierać linków o podejrzanie wyglądającej treści, które rozpoczynają się adresem http://nasza-klasa.pl/. W przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.
Aktualizacja (10-04-2009 15:09)
Wyeliminowano znaleziony w serwisie nasza-klasa.pl błąd pozwalający na tworzenie spreparowanych odnośników prowadzących do dowolnej lokalizacji. Programiści serwisu usunęli otwarty redirect i opisywana luka została zamknięta. Należy jednak pamiętać, iż w przypadku otwierania jakichkolwiek odnośników zawsze należy się upewnić, czy prowadzą one do właściwej strony WWW, obserwując pasek adresu i pasek stanu.
Środa, 11 czerwca 2025r.
•
Dziś imieniny:
Barnaby, Radomiła, Feliksa.
- Z udziałem wykonawców ze Świnoujścia
- Wspaniała kantata „Dekalog” w amfiteatrze im. Marka Grechuty
- Wypadek na Grunwaldzkiej
- Potrącony 90-latek przetransportowany śmigłowcem LPR do szpitala w Gryficach
- Tragiczne odkrycie na Karsiborze. Z wody wyłowiono ciało zaginionego mężczyzny
- Pierwsza taka Noc Muzeów w Świnoujściu
- W otoczeniu zabytków prezydentka miasta otwiera dyskusję
- o przyszłości unikalnej przestrzeni Basenu Północnego
- Tragiczne pobicie w Międzyzdrojach. Sprawca zatrzymany
- Locha z warchlakami na rondzie w Świnoujściu. Dzicze safari z widokiem na S3
- Niezwykłe zjawisko na niebie nad Świnoujściem: „kosmiczny wir” uwieczniony na zdjęciu
- Przełom w komunikacji!!!
» Strona Główna » Wydarzenia » Poważne zagrożenie na Naszej-Klasie: nie otwieraj linków
a slowa >uRzywaja< analfabeci :S
Andrzeju. !! L.O.L. ?? haha wiem że to ty. :)
Słowa lol urzywaja świnoujskie prostaczki ;)
eee tam.. epuls juz mnie nie bawi. jakos glupio sie na nim zrobilo ; D
lepszy EPULS !! KTO MI DA DYSZKĘ I CAŁUSKA
co to znaczy lol?
* chcialbys byc hakerem, ale z poziomu zera to bedzie trudne. najpierw zacznij od macierzy. a o javie w nk pisal onet i to oni sie podpisali ze uzytkownik im wyslal problem a nie jakiejs stronie iswinoujscie. lol