В прошлом году пользователю удалось ввести произвольный javascript в синтаксис кратности reddit. Может кто-нибудь объяснить, как это было сделано, и как я могу проверить, является ли мой сайт уязвимым?Может кто-нибудь объяснить прошлогодний красноармейский эксплойт для меня?
Запись в блоге на эксплоита:
http://blog.reddit.com/2009/09/we-had-some-bugs-and-it-hurt-us.html
Патч, который установил его:
https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550
Ссылка на патч сгнила до 403. [Это] (https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550) - тот же набор изменений в их учетной записи Github. – 2012-07-13 22:40:31
добавить свой адрес веб-сайта я проверю и скажу вам –
я думаю, что это было через двойной -hashing. Не была ли запись в блоге Reddit, которая объяснила проблему? Reddit заблокирован, где я нахожусь, поэтому я не могу проверить, к сожалению. – JAL