На сайте icq.com найдены XSS уязвимости
Главная » Новости

На сайте icq.com найдены XSS уязвимости

Александр Панасенко 18 Января 2010 - 14:43
...

Несколько дней назад на сайте icq.com было найдены две xss уязвимости, причем обе активные. 
Одна из уже закрытых уязвимостей имела места в профиле пользователей, в поле “О себе” вашего номера. Непосредственно из ICQ клиента можно было написать JS-код, который соответственно на странице сайта успешно выполнялся ( http://www.icq.com/user_profile/%Ваш_номер%/ ). Сейчас уязвимость закрыта, при чём отключением этого сервиса, то есть сейчас на любой номер выдается ошибка 404, но работает старый вид профилей ( http://www.icq.com/people/about_me.php?uin=%Ваш_номер% ).

Вторая уязвимость присутствовала в сервисе блогов ( http://blogs.icq.com/blogs/ ), причем недостаточно фильтровалось именно тело сообщения.

Однако похищенный cookies не позволяли ни поменять пароль ни войти на сайт, так как по всей видимости имели привязку к IP-адресу. Казалось бы в этом случае XSS уязвимости абсолютно бесполезно, но не тут то было. На самом деле на icq.com присутствует ещё один тип уязвимостей, менее используемый, однако не менее опасный, это CSRF уязвимости. Суть уязмиости заключалась в устновке секретных вопросов\ответов на номер, это возможно сделать прямой ссылкой:

https://www.icq.com/password/setqa_tx.php?qtype=user&qa1=custom&userq=%Вопрос%&answer1=%Ответ%&submit=Submit&zqq=

В свзяке с XSS уязвимостью вопросы можно было установить фактически любому пользователю icq.com

habrahabr.ru

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Angara Security нарастила выручку до 7,9 млрд рублей в 2024 году
Яков Шпунт 25 Апреля 2025 - 16:51
Корпорации Angara Security
Angara Security нарастила выручку до 7,9 млрд рублей в 2024 году

По итогам 2024 года совокупная выручка Angara Security достигла 7,97 млрд рублей, немного превысив показатель 2023 года (7,882 млрд рублей).

Как сообщили в компании, минувший год стал этапом подготовки к внутренней трансформации и перестройке бизнес-процессов. Особое внимание было уделено формированию продуктовых предложений для разных категорий заказчиков.

Спрос на решения Angara Security стимулировали сразу несколько факторов. Во-первых, это продолжающийся процесс импортозамещения, ужесточение регулирования и появление новых требований к обеспечению информационной безопасности. Во-вторых, сами компании стремятся выстроить полноценную систему киберзащиты до того, как столкнутся с атаками злоумышленников.

Кроме того, практический интерес к управляемым сервисам в сфере ИБ поддерживает сохраняющийся дефицит квалифицированных специалистов. Существенный рост спроса зафиксирован и на услуги в области DevSecOps — от построения безопасных процессов разработки до анализа кода и защиты среды разработки. Эти запросы во многом обусловлены активной цифровизацией бизнеса.

Среди наиболее значимых проектов 2024 года Angara Security выделяет:

  • разработку системы безопасного использования заимствованного кода для компании из финансового сектора;
  • создание центра мониторинга и реагирования на инциденты (SOC) для одного из крупных игроков транспортного рынка;
  • проект по анализу защищённости в промышленной компании, позволивший выявить критические уязвимости в подсистеме мониторинга ИБ-активов.

В 2025 году компания планирует нарастить объёмы предоставляемых услуг. В частности, планируется запуск набора сервисов, обеспечивающих киберустойчивость на всех этапах модели Cyber Kill Chain. Эти решения будут учитывать не только защиту самой организации, но и её подрядчиков и поставщиков.

«Angara Security работает в отрасли, которая напрямую зависит от экономических реалий. Сегодня заказчики чаще нуждаются в экспертизе, консалтинге и услугах, чем в поставке оборудования — в том числе из-за кадрового дефицита и пересмотра бюджетных приоритетов, — отметил генеральный директор Angara Security Сергей Шерстобитов. — По многим направлениям компании уже завершили импортозамещение. Всё это отразилось на структуре наших доходов. Мы видим новые точки роста. Главное конкурентное преимущество — это глубокая экспертиза и оперативность. В 2024 году мы значительно усилили команду: численность экспертов выросла более чем на 20%».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
MONT запустила киберполигон для тестирования российских ИБ-продуктов
Новость
MONT запустила киберполигон для тестирования российских ИБ-п...
Хакеры подписывают вредоносы с помощью Microsoft Trusted Signing
Новость
Хакеры подписывают вредоносы с помощью Microsoft Trusted Sig...
Россия впервые оказалась в тройке лидеров по вредоносному бот-трафику
Новость
Россия впервые оказалась в тройке лидеров по вредоносному бо...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.