Межсайтовый скриптинг в Livejournal.com

LiveJournal или Живой Журнал - один из самых популярных интернет-ресурсов в мире, оказался уязвимым к межсатовому выполнению сценариев.

На сайте fuzzing.ru сообщается о наличии нескольких уязвимостей в ЖЖ, которые позволяют злоумышленнику выполнить произвольный HTML код и код сценария в браузере жертвы в контексте безопасности сайта LiveJournal.com.
[LIST][*]На LiveJournal.com используется [URL="http://www.securitylab.ru/vulnerability/271103.php"][COLOR=#0000ff]уязвимая версия Web сервера Apache[/COLOR][/URL]. Злоумышленник может с помощью специально сформированного HTTP запроса произвести [URL="http://www.securitylab.ru/news/tags/XSS/"][COLOR=#0000ff]XSS[/COLOR][/URL] нападение.[*]Также сообщается об ошибке проверки входных данных в параметре usejournal в сценарии update.bml. Злоумышленник может, с помощью специально сформированной ссылки, выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примеры использования: http://www.livejournal.com:80/update.bml?usejournal=>”> <script%20%0a%0d>alert(document.cookie)%3B</script>
http://www.livejournal.com:80/update.bml?usejournal=>’> <script%20%0a%0d>alert(document.cookie)%3B</script>
http://www.livejournal.com/update.bml?usejournal=–> <script%20%0a%0d>alert(document.cookie)%3B</script>[/LIST]SecurityLab рекомендует всем пользователям Живого Журнала с осторожностью посещать ссылки, ведущие на сайт LiveJournal.com.

[URL="http://www.securitylab.ru/news/310425.php"]securitylab.ru[/URL]

[quote=ALEX(XX);164526] SecurityLab рекомендует всем пользователям Живого Журнала с осторожностью посещать ссылки, ведущие на сайт LiveJournal.com.

[URL="http://www.securitylab.ru/news/310425.php"]securitylab.ru[/URL][/quote]
Поздновато они это обнаружили. Я уже два года назад начал предупреждать насчёт этого домена - скрипты надо там обязательно ОТКЛЮЧАТЬ.

Paul