Seznam.cz | Vyhledávače | Hacking

Vývojář objevil zranitelnost v Seznamu. Dokázal mezi výsledky propašovat zakázaný kód

Vývojář objevil zranitelnost v Seznamu. Dokázal mezi výsledky propašovat zakázaný kód

Vývojář Jan Barášek potrápil tým vyhledávače v Seznamu, objevil totiž potenciální bezpečnostní zranitelnost, která mu umožnila mezi výsledky propašovat vlastní iframe.

Vložený iframe by pak mohl obsahovat další kód, takže se jedná o typický případ zranitelnosti typu XSS (cross-site scripting). Sofistikovaný útok by v tomto případě probíhal tak, že byste si nechali robotem Seznamu zaindexovat svoji stránku, která by této chyby využila a snažila by se do databáze Seznamu propašovat třeba javascritpový kód, který by provedl přesměrování na cílový web.

Jakmile by se pak odkaz na tento web zobrazil mezi výsledky, aktivoval by se jeho skrytý kód a prohlížeč by vás automaticky přesměroval třeba na web s malwarem, aniž byste na cokoliv klikli.

Barášek naštěstí XSS zranitelnost zveřejnil až poté, co se spojil s vývojáři Seznamu, kteří chybu následně opravili.

Diskuze (16) Další článek: iPhony byly několik let děravé jako řešeto. Stačilo navštívit web a útočníci měli přístup i k šifrovaným datům

Témata článku: Seznam.cz, Web, Bezpečnost, Vyhledávače, Hacking, Kód, Výsledek, Vývojář, Typický případ, Seznam, Zranitelnost, Sofistikovaný útok, Chyba


Určitě si přečtěte

Že by konečně revoluce? Nové chytré hodinky od Garminu mají průhledný solární panel

Že by konečně revoluce? Nové chytré hodinky od Garminu mají průhledný solární panel

** Chytré hodinky mají relativně malou výdrž ** Sportovní fénixy od Garminu jsou na tom ale lépe ** Poslední verze nabízí dokonce transparentní solární panel

Jakub Čížek | 54

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

** Microsoft aktualizuje Windows 10 dvakrát ročně ** Jenže praktických novinek už není tolik jako dříve ** Poslali jste nám skoro 300 tipů, co by se měly Desítky ještě naučit

Jakub Čížek | 135

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

** Domácí 3D tisk je dnes už finančně dostupný prakticky všem ** Lacinou tiskárnu pořídíte za pár tisíc korun ** Jak vlastně tisk probíhá a jak navrhnout, co vytisknout

Jakub Čížek | 63

Bývalý zaměstnanec Nokie vysvětluje, proč telefony s Windows Phone neuspěly

Bývalý zaměstnanec Nokie vysvětluje, proč telefony s Windows Phone neuspěly

** Za neúspěchem Microsoftu v mobilech stojí i Windows 8 ** Microsoft pozdě naskočil do rozjetého vlaku ** Uživatelé neměli zásadní důvody, proč přejít

Karel Kilián | 132

Raspberry Pi 4 Model B: Raketa za tisícikorunu, která utáhne dva monitory

Raspberry Pi 4 Model B: Raketa za tisícikorunu, která utáhne dva monitory

** Britové před pár dny představili nové Raspberry Pi 4 Model B ** Nový čipset má dost výkonu na dva HDMI monitory ** Za tisícovku získáte počítač na základní práci

Jakub Čížek | 80



Aktuální číslo časopisu Computer

Megatest 18 grafických karet

Ukliďte data v počítači

Jak dobře koupit starší telefon

Vylepšete zvuk televize: test 7 soundbarů