[OBRAZ]Wczoraj opisaliśmy błąd jaki występował w internetowym serwisie aukcyjnym Allegro.pl pozwalający na wyświetlenie dowolnego tekstu który pojawi się na każdej stronie serwisu. Dzisiejszego dnia, zapewne większość z Was zauważyła, że błąd ten został już poprawiony. Ale czy na pewno?
Bezpośrednie przesłanie informacji w adresie URL tak jak było to opisane w poprzednim przypadku nie wyświetli już ich, ale można to obejść w nieco inny sposób. Otóż wystarczy stworzyć prosty formularz w HTML:
<form action="http://www.allegro.pl" method="post">
<input type="hidden" name="errmsg" value="MAGICZNE SŁOWO">
<input type="submit">
</form>
zaś w miejsce oznaczone jako MAGICZNE SŁOWO wpisujemy nasz dowolny tekst bądź dowolny kod HTML. Jak zatem widać zmienna "errmsg" przyjmuje odpowiednią wartość "magicznego słowa" i co ciekawsze nie trzeba już podczas wpisywania odpowiednich znaczników w języku HTML (jak to miało miejsce w poprzednim przypadku) uwzględniać przed jego końcem znak spacji (%20).
Sposób ten jest o tyle bardziej niebezpieczny, iż dzięki zastosowaniu metody "post" użytkownik niczego podejrzanego nie zauważa, gdyż w polu adresu widnieje tylko http://www.allegro.pl a to otwiera nowe możliwości oszustom internetowym.
aktualizacja (2004-04-24): Błąd ten jest już nieaktualny.
Błąd w internetowym serwisie aukcyjnym Allegro.pl nadal aktualny
Zabezpieczenia |
Pt, 16 Kwie 2004 14:44:47 +0200 |
Autor:
Redakcja
| Czytań: 7941
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.