2009/07/08

Plurk 一些漏洞揭露 (2)

這兩天聽了 SySCAN,發現有志一同的發現了一樣的 css expression 問題。
真的滿有意思的!XDD

expression 的問題跟站長溝通過,filter 的過程真的是不太嚴謹。老早之前回報過的沒想到竟然只是過濾固定字串而已...Orz
儘管只是 IE only 的攻擊,但我想 < IE8 的使用者還是不在少數。這一點實在是不能忽略。

CSRF 目前建議了幾個方案給站長,Amir 說目前由於 API 的問題他們必須要做很大的修改。我想這多半是因為一開始設計的時候沒有考量到這些問題的緣故。這樣要改下去我想要花費不少的心力,真的是辛苦他們了!

目前建議 A-Team 要防堵 Worm 的攻擊,我想最簡單最初階的方法就是將散佈的手段防堵住,或者讓傳播的途徑更為複雜。將 Profile / 發訊息 / 回應訊息的地方限制住我想是個相當不錯的方法。:)

Plurk 在台灣使用者數量真的是越來越多,最近加好友跟粉絲的數量越來越多,暴增的使用者我想安全性對於使用者來說越來越來得重要。

希望 A-Team 多加油啊!

2 comments:

janetyc said...

哈哈~ 幫我跟Amir推薦一下 :p (我最近有丟email給他們耶 XD)

allenown said...

你是想到 Plurk 工作嗎? XD

Post a Comment