L'anno scorso un utente è riuscito a inserire una javascript arbitraria nella sintassi markdown di reddit. Qualcuno può spiegare come è stato fatto e come posso verificare se il mio sito è altrettanto vulnerabile?Qualcuno può spiegare a me l'exploit reddit dell'anno scorso?
5
A
risposta
3
Blog ingresso sul exploit:
http://blog.reddit.com/2009/09/we-had-some-bugs-and-it-hurt-us.html
La patch che risolto:
https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550
+1
Il collegamento alla patch è passato a 403. [Questo] (https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550) è lo stesso changeset sul proprio account Github. –
Problemi correlati
- 1. qualcuno può spiegare a me questa `StaleDataException`
- 2. Iniezione Sql qualcuno può spiegare questo codice a me
- 3. Qualcuno può spiegare a me l'algoritmo di backpropagation?
- 4. Qualcuno può spiegare questa funzione di "endianità" per me?
- 5. Qualcuno può spiegare l'attr?
- 6. Qualcuno può spiegare RESULT_FIRST_USER
- 7. Qualcuno può spiegare come funziona?
- 8. Qualcuno può spiegare MustOverride?
- 9. Qualcuno può spiegare docker.sock
- 10. Qualcuno può spiegare eclipse.p2.profile
- 11. Qualcuno può spiegare Microsoft Unity?
- 12. Qualcuno può spiegare a me i livelli di attendibilità di ASP.NET?
- 13. Qualcuno può spiegare questo attacco di iniezione di codice php a me?
- 14. Qualcuno può spiegare a me questo pattern javascript utilizzato nei plugin di Bootstrap di Twitter?
- 15. Qualcuno può spiegare a me la protezione e la crittografia dei dati dell'iPhone?
- 16. La facciata di Laravel 4 implementa il motivo di facciata? Qualcuno può spiegare questo a me
- 17. Qualcuno può spiegare a me questo comportamento integer modulare in Haskell?
- 18. Qualcuno può spiegare a me un servizio di Enterprise Bus in non buzzspeak?
- 19. Qualcuno può spiegare le decisioni di progettazione di Autolisp/visual lisp a me?
- 20. Qualcuno può spiegare a me le operazioni di bit bit ARM?
- 21. Qualcuno può spiegare meglio Decoder/Encoder?
- 22. Qualcuno può spiegare questo codice C?
- 23. Qualcuno può spiegare il comportamento di "conj"?
- 24. Qualcuno può spiegare questo trucco "doppio negativo"?
- 25. Qualcuno può spiegare le chiavi esterne MySQL
- 26. Qualcuno può spiegare le reti neurali artificiali?
- 27. qualcuno può spiegare questo polyray di array.prototype.find()?
- 28. wierdness using tee: qualcuno può spiegare?
- 29. Qualcuno può spiegare correttamente l'intersezione di LINQ con me? Non capisco perché questo non funzioni
- 30. Qualcuno può spiegare strani JavaScript con oggetti?
aggiungere il tuo indirizzo web controllerò e dirvi –
Penso che sia stato attraverso il doppio -hashing. Non c'era una voce sul blog di Reddit che spiegava il problema? Reddit è bloccato dove sono, quindi non posso controllare, sfortunatamente. – JAL