Хабрахабр был взломан

Сегодня интересное сообщение было замечено на Хабре. Хабр Заметить на хабре не удалость, зато в рсс ленте
осталось. Немного покопавшись в коментариях было
найдено что ошибка движка заключалась в отсутствии фильтрации
тега iframe, который можно было использовать в теге img. Любой
желающий мог запостить в блог такую конструкцию: <имг
src=»http://lurkmore.ru/images/1/13/Nigra1.jpg» iframe src=»/1″
onload=»try{Vote Post(34418,’down’,’2′);}catch(e){}»sty
le=’position:absolute;width:1px;he
ight:1px;left:-50px;top:-50px;’…> Получается что ниже этого
поста на странице не будет ничего видно, каждый авторизованный
пользователь будет автоматически голосовать за эту новость, а при
попадании поста в топ на главную страницу она будет так же
отображать только вставленное изображение, тут фотографию
«Черного властелина». Этот метод повторили и некоторые другие
пользователи, им оставалось лишь создать новый топик,
отредактировать в нём id и рассказать про пост как можно большему
количеству хабраюзеров. На данный момент ошибка
исправлена
, но разговоры продолжаются.

Добавить комментарий