Пользователям доверять нельзя!
Да, день сегодня явно прожит не зря…
Сообщая службе технической поддержки oDesk о небольшой ошибке в WorkDiary 2.0 Beta, я обратил внимание на одну особенность их системы (пока oDesk не отреагирует, я не могу сказать, на какую). Это толкнуло меня на эксперимент. В результате я нашёл две довольно-таки неприятные уязвимости (когда oDesk их исправит, я о них расскажу). Опять же, эти уязвимости существуют из-за недостаточной обработки входных данных и излишнего доверия пользователю.
Повторюсь еще раз (ибо repetitio est mater studiorum): данным, пришедшим из внешнего источника (например, от пользователя), доверять нельзя!
10 апреля в 23:59 (фактически через 5 часов, после того, как я им сообщил об уязвимости) oDesk начал разбираться с проблемой:
Что же, посмотрим, сколько времени у них на это уйдёт
Почти сутки (11 апреля, 23:11) ушли на поиски места уязвимости: