Уязвимость, связанная с неправильной проверкой корректности введенных данных,
обнаруженная недавно исследователями из M86, может быть использована для
создания фишинг-сообщений, направленных на пользователей RapidShare.
Открытие было сделано путем тестирования сообщения об ошибке, отсылаемого
сервисом, когда серверы перегружены, и уязвимость была в поле сообщения об
ошибке "downloaderror".
Так они провели эксперимент и заменили оригинал сообщения "Слишком много
пользователей скачивают с данного сервера прямо сейчас. Повторите попытку позже,
пожалуйста" следующим:
Кроме поля сообщения об ошибке взломщики могут управлять и другими полями,
такими как имя папки и имя файла.
"Этот тип уязвимости может помочь злоумышленникам создать фишинг-страницы на
RapidShare.com", - объяснили они, но добавили, что конфликтная комиссии из
RapidShare устранила проблему, после того, как исследователи сообщили о ее
существовании.
