Ars Longa, Vita Brevis

Пользователям доверять нельзя!

Да, день сегодня явно прожит не зря… :-)

Сообщая службе технической поддержки oDesk о небольшой ошибке в WorkDiary 2.0 Beta, я обратил внимание на одну особенность их системы (пока oDesk не отреагирует, я не могу сказать, на какую). Это толкнуло меня на эксперимент. В результате я нашёл две довольно-таки неприятные уязвимости (когда oDesk их исправит, я о них расскажу). Опять же, эти уязвимости существуют из-за недостаточной обработки входных данных и излишнего доверия пользователю.

Повторюсь еще раз (ибо repetitio est mater studiorum): данным, пришедшим из внешнего источника (например, от пользователя), доверять нельзя!

Add to Bookmarks
  • del.ici.ous
  • Digg
  • Furl
  • Google
  • Simpy
  • <a rel="external nofollow" href="http://www.spurl.net/spurl.php?v=3&url=http%3A%2F%2Fblog.sjinks.org.ua%2Fsecurity%2F83-vulnerabilities-on-odesk%2F&title=%D0%A3%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%