На официальном сайте Интерпола любой желающий может "объявить в розыск" кого угодно
Дата: 10.12.2004Источник: Lenta.ru
Как описывает в своем интернет-дневнике выпускающий редактор издания MosNews.com Николай Данилов, чтобы воспользоваться уязвимостью, нужно сформировать адресную строку (URL) вида http://www.interpol.int/Viewer/viewphoto.asp?ImageName=[адрес фотографии]&Text=[произвольный текст]. Фотография может быть любая и может находиться в произвольном месте в Интернете. Текст также может быть любой.
Если зайти с помощью браузера по сформированному таким способом адресу, то в результате на подлинной странице сайта Интерпола появится указанная пользователем произвольная фотография и введенный им текст. Такую страницу можно легко принять за реально размещенную на сайте этой организации информацию.
Например, если взять иллюстрацию в виде JPEG-файла, расположенную по адресу http://img.lenta.ru/internet/ 2004/12/10/interpol/illustration.jpg и добавить слова "произвольный текст", то получится адрес вида http://www.interpol.int/Viewer/viewphoto.asp?ImageName= http://img.lenta.ru/internet/ 2004/12/10/interpol/illustration.jpg&Text=произвольный%20текст. Зайдя по нему, можно видеть интерфейс сайта Интерпола и включенную в его структуру иллюстрацию с красной надписью "произвольная иллюстрация" (она растянута до 500 пикселей в высоту) и снизу надпись "произвольный текст".
Таким образом можно, например, фальсифицировать сообщения о том, что кого-либо якобы разыскивает Интерпол - это может быть использовано в разных целях - например, для розыгрышей. Использовав некоторые особенности формирования URL (заменив буквы кодами), можно сделать адрес менее "очевидным" и выглядящим более "техногенно".
Предположительно, подобная особенность является следствием недосмотра создателей программного обеспечения для сайта. По всей вероятности, после появления сообщений в СМИ уязвимость будет через какое-то время исправлена и вышеприведенная ссылка на сфабрикованную страницу в таком случае может не приводить к описанному результату.
| Добавить комментарий |
| 2004-12-13 07:31:01 - Пробовали. Получилось!!! Адрес был... Oksana |
| 2004-12-10 07:47:21 - Ну очень интересный link:... interpol |
| Всего 2 комментариев |
