El año pasado, un usuario logró inyectar javascript arbitrario en la sintaxis de reducción de reddit. ¿Alguien puede explicar cómo se hizo esto y cómo puedo probar si mi sitio es igualmente vulnerable?¿Alguien me puede explicar el exploit reddit del año pasado?
de entrada de blog en la explotación:
http://blog.reddit.com/2009/09/we-had-some-bugs-and-it-hurt-us.html
El parche que lo arregló:
https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550
El enlace al parche está podrido a 403. [Este] (https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550) es el mismo conjunto de cambios en su cuenta de Github. –
añadir su dirección de página web voy a ver y le dirá –
Creo que fue a través de matrimonio -hashing. ¿No había una entrada en el blog de Reddit que explicara el problema? Reddit está bloqueado donde estoy, así que no puedo verificarlo, desafortunadamente. – JAL