L'anno scorso un utente è riuscito a inserire una javascript arbitraria nella sintassi markdown di reddit. Qualcuno può spiegare come è stato fatto e come posso verificare se il mio sito è altrettanto vulnerabile?Qualcuno può spiegare a me l'exploit reddit dell'anno scorso?
Blog ingresso sul exploit:
http://blog.reddit.com/2009/09/we-had-some-bugs-and-it-hurt-us.html
La patch che risolto:
https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550
Il collegamento alla patch è passato a 403. [Questo] (https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550) è lo stesso changeset sul proprio account Github. –
aggiungere il tuo indirizzo web controllerò e dirvi –
Penso che sia stato attraverso il doppio -hashing. Non c'era una voce sul blog di Reddit che spiegava il problema? Reddit è bloccato dove sono, quindi non posso controllare, sfortunatamente. – JAL