Živě.cz hacknuto pomocí XSS

Živě.cz hacknuto pomocí XSSCituji autora:

Podařilo se mi získat uživatelská hesla k administračnímu rozhraní webzinu Živě.cz, které slouží ke správě článku, diskusí, anket a dalších věcí. K celému útoku jsem použil pouze XSS zranitelností nacházejících se na dvou místech.

Stručné shrnutí:Útočníkovi se podařilo pomocí XSS (Cross-site scripting) zjistit uživatelská jména pro administrátorské rozhraní. Hesla k účtům byla uložena v plaintextu, takže mohl zjistit přihlašovací informace jakéhokoliv oprávněného uživatele.
Nakonec vložil na titulní stranu Živě.cz článek s postupem, jak popsané informace získal.Obrázek titulní stránky s článkem:
[zivesc2.png] Aktualizace 9:30: ze serveru Žive.cz byl odstraněn obsah a zůstává pouze titulek
Aktualizace 12:00: ze serveru Žive.cz byl příspěvek odstraněn úplně
Aktualizace 19:37: reakce redakce ŽivěLink na zdroj byl odstraněn na žádost Shai Magal (JaFi)

Zdroj: Blog autora hacku

Předmět	Autor	Datum
Hesla k účtům byla uložena v plaintextu Zabit ich je malo. Este dobre ze som tam pouzil len moje na… MM.. 29.01.2007 02:17	MM..	29.01.2007 02:17
poslali mi zprávu z: registrace z cpress.cz poslední lední brtník 29.01.2007 23:31	lední brtník	29.01.2007 23:31

Předmět

Autor

Datum

Hesla k účtům byla uložena v plaintextu Zabit ich je malo. Este dobre ze som tam pouzil len moje na…

MM.. 29.01.2007 02:17

MM..

29.01.2007 02:17

poslali mi zprávu z: registrace z cpress.cz poslední

lední brtník 29.01.2007 23:31

lední brtník

29.01.2007 23:31

Hesla k účtům byla uložena v plaintextu

Zabit ich je malo. Este dobre ze som tam pouzil len moje naj-"weak" heslo. Ako mozu taki amateri vobec si dovolit pisat nieco o pocitacoch Tak potom vyzeraju aj vsetky tie casopisy. Kopa kydov od bandy amaterov.

Ako sa da na zive zrusit konto?

poslali mi zprávu z: registrace z cpress.cz