« IEPNGFix и Google Maps

Патч для WassUp 1.5 for WordPress »

Apr 10, 2008

Уязвимости oDesk

Рубрика: security
Tags: oDesk, security, vulnerability, безопасность, уязвимость
Vladimir @ 18:35
RSS 2.0

Пользователям доверять нельзя!

Да, день сегодня явно прожит не зря…

Сообщая службе технической поддержки oDesk о небольшой ошибке в WorkDiary 2.0 Beta, я обратил внимание на одну особенность их системы (пока oDesk не отреагирует, я не могу сказать, на какую). Это толкнуло меня на эксперимент. В результате я нашёл две довольно-таки неприятные уязвимости (когда oDesk их исправит, я о них расскажу). Опять же, эти уязвимости существуют из-за недостаточной обработки входных данных и излишнего доверия пользователю.

Повторюсь еще раз (ибо repetitio est mater studiorum): данным, пришедшим из внешнего источника (например, от пользователя), доверять нельзя!

Add to Social Bookmarks

• Blink
• del.ici.ous
• Digg
• Furl
• Google
• Simpy
• Spurl
• Y! MyWeb
• BobrDobr
• Mr. Wong
• Yandex.Bookmarks
• Text 2.0
• News2
• AddScoop
• RuSpace
• RUmarkz
• Memori
• Google Bookmarks
• Pisali
• SMI 2
• Moe Mesto
• 100 Zakladok
• Vaau!
• Technorati
• RuCity
• LinkStore
• NewsLand
• Lopas
• Закладки - I.UA
• Connotea
• Bibsonomy
• Trucking Bookmarks
• Communizm
• UCA

Связанные записи

• Минимизируем неприятные последствия HTTP-сканирования (1)
• Как не нужно интегрировать платёжные системы (3)
• Доказана критичность уязвимости в Safari для Windows (0)
• Безопасность, о которой все так много говорят… (10)
• Водка с феназепамом? Или всё-таки правда? (6)

Комментарии к статье "Уязвимости oDesk" (2) »

1. [April 11, 2008 00:57] Vladimir:

   10 апреля в 23:59 (фактически через 5 часов, после того, как я им сообщил об уязвимости) oDesk начал разбираться с проблемой:

   Thank you for your response. This ticket is being forwarded to our Engineering department for review. We will respond with a resolution as soon as possible, and we appreciate your patience in the meantime.

   Что же, посмотрим, сколько времени у них на это уйдёт

   
   #1
2. [April 11, 2008 23:46] Vladimir:

   Почти сутки (11 апреля, 23:11) ушли на поиски места уязвимости:

   Thank you very much for supplying this information to oDesk. We appreciate it and have located the problems mentioned. Our engineering department is repairing those.

   
   #2

RSS feed for comments on this post. TrackBack URL

Оставить комментарий к записи "Уязвимости oDesk"

Name (required)

Mail (will not be published) (required)

Website

CAPTCHA (required)

Оповещать меня о новых комментариях по e-mail

Аттачмент

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, Вы выражаете своё согласие с Правилами комментирования.

• Search for:

• Подписаться на новости

  Получать на email

  Читать в Google

  Читать в Яндекс

• Pages
  • Кузбасс 2008
  • Обратная связь
  • Правила комментирования на блоге
• Categories
  • C/C++ (7)
  • CSS (18)
  • HTML (13)
  • JavaScript (7)
  • Linux (22)
  • MySQL (5)
  • PHP (7)
  • security (16)
  • Windows (5)
  • WordPress (40)
    • Патчи (18)
    • Плагины (12)
    • Советы (1)
  • Администрирование (14)
  • Всё подряд (14)
  • Фриланс (3)
  • Юмор (11)
• Tagsбезопасность макет ошибка патч плагин подсветка синтаксиса разметка разное спам уязвимость фриланс хак юмор attack bug CSS Debian freelance hack HTML humor IE6 IE7 Intrepid Ibex JavaScript layout Linux Microsoft misc MySQL oDesk patch PHP plugin Prototype security spam syntax highlight Ubuntu vulnerability Wassup Windows WordPress WP CodeBox XHTML
• Календарь

  November 2008

  M	T	W	T	F	S	S
  « Oct
  					1	2
  3	4	5	6	7	8	9
  10	11	12	13	14	15	16
  17	18	19	20	21	22	23
  24	25	26	27	28	29	30

• Горячие темы
  • OneButton — улучшенный вариант ОднойКнопки
  • Настройка nginx и PHP/FastCGI в Windows
  • Спамеры просто достали, или, Еще одна CAPTCHA для WordPress
  • Резиновый трехколоночный макет с правосторонними сайдбарами
  • Кросс-браузерное одноуровневое вертикальное меню без JavaScript
  • WP File Cache: замена WP_Object_Cache с поддержкой долговременного кэширования
  • Программисты: русские, индусы, китайцы и канадцы
  • Безопасность, о которой все так много говорят…
  • Кросс-браузерный резиновый трёхколоночный макет в высоту окна
  • Ubuntu Intrepid Ibex и драйвера на видеокарту ATI
• Последние комментарии
  • grang on Сортировка статей по количеству комментариев в WordPress
  • Vladimir on Как не нужно интегрировать платёжные системы
  • Vladimir on Как не нужно интегрировать платёжные системы
  • Yohan on Как не нужно интегрировать платёжные системы
  • Vladimir on Безопасность, о которой все так много говорят…
  • Как не нужно интегрировать платёжные системы | Ars Longa, Vita Brevis on Безопасность, о которой все так много говорят…
  • Как не нужно интегрировать платёжные системы | Ars Longa, Vita Brevis on Программисты: русские, индусы, китайцы и канадцы
  • Vladimir on Skype и Ubuntu 8.10 Intrepid Ibex на AMD-64
  • passer-by on Skype и Ubuntu 8.10 Intrepid Ibex на AMD-64
  • Vladimir on Создание отражения рисунка с помощью JavaScript
• Top 5 комментаторов
  • Vladimir
  • Yohan
  • Как не нужно интегрировать платёжные системы | Ars Longa, Vita Brevis
  • Минимизируем неприятные последствия HTTP-сканирования | Ars Longa, Vita Brevis
  • curt
• Archives
  • November 2008
  • October 2008
  • September 2008
  • August 2008
  • July 2008
  • June 2008
  • May 2008
  • April 2008
  • March 2008
  • February 2008
  • January 2008
• Meta
  • Register
  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org
• 
•