有人可以向我解释一下去年的 reddit 漏洞吗?
去年,一名用户成功地将任意 JavaScript 注入到 Reddit 的 Markdown 语法中。有人可以解释一下这是如何完成的以及我如何测试我的网站是否同样容易受到攻击吗?
Last year a user managed to inject arbitrary javascript into reddit's markdown syntax. Can someone explain how this was done and how I can test whether my site is similarly vulnerable?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
有关该漏洞的博客条目:
http://blog.reddit.com/2009/09/we-had-some-bugs-and-it-hurt-us.html
修复它的补丁:
https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550
Blog entry on the exploit:
http://blog.reddit.com/2009/09/we-had-some-bugs-and-it-hurt-us.html
The patch that fixed it:
https://github.com/reddit/reddit/commit/1f1f0606f5b6bf14a0db55a28cfd03e1e42e3550