Здравствуйте. В конце прошлой недели я обнаружил уязвимость, которая позволяла выполнить произвольный javascript-код во время просмотра вебвизора. Естественно, первым делом я написал в саппорт и сегодня, когда я про это впомнил и решил проверить, я обнаружил, что дыру прикрыли. Вся суть была в том, что вебвизор показывал какой текст на странице пользователь выделял и никак не фильтровал эти данные. Вполне вероятно, что я не первый кто обнаружил данный баг и, возможно, кто-то им даже когда-то пользовался. Так что, если вы активно мониторили свой сайт при помощи вебвизора, то будте внимательны — вдруг ваши данные есть уже у кого-то.
Под катом видео с процессом.
Читать полностью »
Рубрика «вебвизор»
XSS в вебвизоре
2012-04-04 в 10:24, admin, рубрики: xss, вебвизор, информационная безопасность, метки: xss, вебвизорЯндекс / [Из песочницы] Можно ли доверять Вебвизору от Яндекса?
2012-02-08 в 19:31, admin, рубрики: вебвизор, ошибки, яндекс, яндекс.метрика, метки: вебвизор, ошибки, яндекс, яндекс.метрика Приветствую всех читателей!
В этом посте я хочу рассказать, почему в некоторых случаях не стоит доверять информации, которую можно получить просматривая сеансы записей действий посетителя в Вебвизоре от Яндекс.Метрики.
Под катом коротко о технологии, описание проблематики, переписка с технической поддержкой Яндекса и личные выводы.
Технология Вебвизор в Яндекс.Метрике
Официальная информация с сайта Яндекса:
Вебвизор записывает действия посетителей вашего сайта и позволяет вам просматривать их в режиме «живого видео».
Воспользовавшись плеером, вы увидите точное повторение всехЧитать полностью »