MySpace sårbar för XSS nu

(Publicerad 2009-05-22)

Just nu är MySpace sårbar för reflected cross-site scripting.

Någon som kallar sig Methodman som verkar ingå i ett gäng som kallar sig Teamelite postade igår kväll en sårbarhet på MySpace. Det finns även en länk till en video på YouTube som visar hur det går till. Av allt att döma injiceras scriptet på flera ställen i koden utan att det HTML-kodas.

Intressant nog har Methodman lagt upp fler filmer på YouTube, en om XSS i PayPal. Hans feed kan vara bra att hålla ett öga på.

Svårt att säga att det är nyheter, MySpace har (som alla andra större siter) råkat ut för det flera gånger tidigare.

Det var ungefär det här som Samy hade att arbeta med från början. Samy var killen som skrev den första stora XSS-masken i slutet av 2005, den fick MySpace att stänga ner helt efter bara 20 timmar. Om ni inte läst hans redogörelse, gör det, den är lärorik och underhållande.

Uppdatering @ 2009-05-25 09:16

Hålet är fortfarande öppet.

Uppdatering @ 2009-05-29 10:27
Hålet är fortfarande öppet.

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0