Αδυναμία XSS στο browser game ikariam.gr

Ο αναγνώστης του iGuRu.gr, J0k3R-GR, μας κοινοποίησε μια αδυναμία XSS στο browser game ikariam.gr. Παραθέτουμε το e-mail κοινοποίησης που στάλθηκε και στους υπεύθυνους της ς.

“Δείτε την , εντόπισα ένα κενό ασφαλείας στην ιστοσελίδα σας,είναι XSS (αποδείξεις στην εικόνα), μπορεί να χρησιμοποιηθεί για κακόβουλους σκοπούς.”

Capture 1

Και η απόδειξη της ευπάθειας

XSS

Το link της εικόνας σε υψηλότερη ανάλυση
http://postimg.org/image/6lvaz49cn/

Συνεχίζοντας ο J0k3R-GR αναφέρει:

Τις ευπάθειες XSS τις εκμεταλλευόμαστε με την εισαγωγή κώδικα HTML ή Javascript σε μια σελίδα. Αυτός ο κώδικας δεν φιλτράρετε και έτσι μπορεί να προκαλέσει αλλοίωση στον κώδικα της ιστοσελίδας.

Έτσι ένας κακόβουλος μπορεί να προκαλέσει:

1.Κλοπή προσωπικών
2.Κλοπή cookies
3.Αλλαγές που μπορεί να κάνει μόνο ο
4.Διαφήμιση
5.Ανέβασμα Shell
και πολλά άλλα.
Για να δεις αν μια σελίδα είναι ευπαθής σε επιθέσεις XSS τότε βάζεις σε κάποιο textbox της σελίδας:
και πολλά άλλα.
Ευχαριστούμε τον αναγνώστη της ιστοσελίδας μας J0k3R-GR, για την γνωστοποίηση της ευπάθειας σε εμάς αλλά και στους υπεύθυνους του browser game, που όπως φαίνεται από την ημερομηνία απάντησης στο ticket, ανταποκρίθηκαν άμεσα.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.087 εγγεγραμμένους.

browsercookiesgameikariamXSS

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).