Уязвимости в рейтинге RAX.ru

14.07.2003 | 15:22
Уязвимость обнаружена в рейтинговой системе RAX.ru. Владелец ресурса может добавлять к своему счетчику посещаемость других ресурсов и получать закрытую информацию о посетителях других ресурсов.

Как сообщает Terabyte, все счетчики системы используют одинаковый код (за исключением параметра, отвечающего за тип счетчика - его цвет и т.д.). Т.е. в коде счетчика системы не передается ID счетчика или учетной записи. В результате владелец ресурса в качестве синонима своего сайта может добавить любой подкаталог другого рейтингуемого сайта. Как сообщает автор, ему, таким образом, удалось накрутить более 43000 хостов.

Уязвимость может также использоваться для получения закрытой статистики других ресурсов. Кроме того, сообщается, что для изменения главного адреса сайта, требуется написать письмо на counter@rax.ru в котором указывается старый адрес сайта и новый. При этом служба технической поддержки не запрашивает пароля учетной записи.

Способов устранения обнаруженной уязвимости не существует в настоящее время.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код