PDA

Просмотр полной версии : KIS : Обход фильтра содержимого веб-страниц


antanta
08.08.2010, 23:52
Специальным образом созданная гипертекстовая ссылка позволяет обходить "родительский контроль" KIS 2010, а также (вероятно) и другие подсистемы, призванные блокировать вредоносные сайты.
Если "злоумышленник" - просто рукоблуд, то ему достаточно создать простейший html -документ, открыть его в обозревателе и кликнуть по ссылке.
Скорее всего это сработает и в том случае, если злоумышленник разместит такую ссылку на подконтрольном ему интернет-сайте.
Источник - :P
Опасность - умеренная
наличие сплойта - :O , а что это?
ALEX(XX)
08.08.2010, 23:55
А подробнее? :)
antanta
09.08.2010, 00:00
Прямо сюда??
ALEX(XX)
09.08.2010, 00:02
Думаю, стоит уведомить разработчика, для начала. Как бы, так принято.. :)
Ну, а потом здесь раскрыть суть уязвимости
anton_dr
09.08.2010, 07:39
Специальным образом созданная ... позволяет обходить ..., а также (вероятно) и другие подсистемы, призванные ....
Если "злоумышленник" - ..., то ему достаточно создать ..., и ....
Скорее всего это сработает и в том случае, если злоумышленник разместит такую ссылку на подконтрольном ему интернет-сайте.
Источник -
Опасность - умеренная
наличие сплойта - , а что это?
Спасибо за шаблон, счас весь раздел заполоню подобными сообщениями.
Поэтому -


стоит уведомить разработчика, для начала. ...
Ну, а потом здесь раскрыть суть уязвимости
Br0m
09.08.2010, 11:01
-Дядь, а дядь, а я знаю что у вас не работает!!!
-???
-Маашиинааа!!!

:D
Зайцев Олег
09.08.2010, 11:22
Если уязвимость есть - то о ней конечно желательно сначала сообщить разработчикам (можно скинуть мне в PM описание), причем желательно оставив какой-то контакт (почту, ICQ) для того, чтобы была возможность уточнить какие-то детали по ходу исправления глюка, если таковой подтвердится.
antanta
09.08.2010, 12:39
Зайцев Олег, Вчера отправил umnik-у в ПМ, сейчас прод.ублирую и Вам.
Детсадовский метод, но работает.
Кстати, Dr.Web LinkChecker просто не отрабатывает такую ссылку. Стоит ли по нему отдельную тему создавать, если обнаружены глюки с обработкой IP, заданных в десятичной форме?
ALEX(XX)
09.08.2010, 13:32
Стоит ли по нему отдельную тему создавать
Да, уведомляй разрабов, а потом публикуй. Нужно.

Добавлено через 0 секунд


Стоит ли по нему отдельную тему создавать
Да, уведомляй разрабов, а потом публикуй. Нужно.
Зайцев Олег
09.08.2010, 14:32
Я получил данные по баге в PM, переслал разработчикам - я думаю, эта штука будет оперативно пофикшена.
Umnik
15.08.2010, 17:27
Я только недавно приехал. Завтра почитаю...