Notebookcheck Logo

"Детская" уязвимость портала Engadget:

Система комментариев сайта позволяет вводить код JavaScript

Engadget, один из крупнейших американских развлекательно-новостных порталов с технической ориентацией - который уже некоторое время принадлежит Verizon - представляет потенциальную угрозу для своих посетителей: комментарии сайта не фильтруют код JavaScript, что и заметил один из читателей, выставив на одной из страниц соответствующее сообщение.

Скриншот сайта Engadget с тем самым сообщением

Сообщение гласит, дословно, "Привет Engadget, поправьте пожалуйста систему комментариев. Мне не нравится то, что она принимает JavaScript." Теоретически подобная штука позволит злоумышленнику делать очень многое на открывающем подобную страницу устройстве, начиная от мини-DDOS-атаки (открытие дополнительной произвольной страницы) и далее на что хватит фантазии атакующего.

Комментариев со стороны Engadget пока не поступало, хотя мы и связались с редакцией для уточнения ситуации.

Обновление (07 октября, 6:55 МСК): Представитель портала признал факт проблемы и сообщил, что в ближайшее время она будет исправлена. 

Если повезёт, за это время даже не произойдёт ничего плохого. Слишком уж много в последние месяцы сюрпризов: целевая реклама с вирусами, Stagefright для Android, уязвимости в базовой сетевой инфраструктуре. Хватит.

Этот важный материал точно понравится твоим друзьям в социальных сетях!
Mail Logo
'
Serg, 2015-10- 7 (Update: 2015-10- 7)