Детали уязвимости пока не публикуются, хотя воспроизвести ее не составит особого труда. Сама атака относится к классу так называемых CSRF (cross-site request forgery) и становится возможной в ситуациях, когда при обработке формы сайт забывает проверить, что ее сформировал именно он, а не какой-то внешний ресурс. Защита от них тривиальна - проверка referer, формирование и проверка уникального сессионного id формы.

Источник: GNUCitizen

Tweet

теги: уязвимости  |  предложить новость  |  обсудить  |  все отзывы (0)

[9062]

назад «  » вперед

аналогичные материалы Миллионы домашних роутеров оказались уязвимыми // 22.07.10 10:53 Перетягивание флага // 15.02.10 00:39 Adobe потеряла патч для Flash на 16 месяцев // 09.02.10 20:32 Внеочередной патч IE // 21.01.10 23:27 Массовая атака с помощью pdf-уязвимости // 14.01.10 23:45 Adobe пообещала залатать Акробат через месяц // 16.12.09 22:47 Удаленное замораживание Window 7 и Server 2008 R2 // 12.11.09 16:55

последние новостиBugTraq.Ru: последние новости Adobe все-таки выпустит бесплатные обновления для CS5.x // 14.05.12 11:13 CGI-уязвимость в PHP: второй подход к снаряду // 09.05.12 17:54 Adobe пропатчила Shockwave, Flash, Photoshop, Illustrator // 09.05.12 00:00 Майские обновления от MS // 08.05.12 21:21 Присяжные признали Google частично виновной в нарушении копирайта на Java API // 08.05.12 14:14 Февральское обновление Lion раскрыло пользовательские пароли // 06.05.12 20:51 Опасная и все еще неисправленная восьмилетняя уязвимость в PHP // 04.05.12 17:27