Уразливості на www.internetua.com

19:32 02.04.2008

11.10.2007

У травні, 20.05.2007 (і додатково сьогодні), я знайшов Cross-Site Scripting уразливості на проекті http://www.internetua.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.internetua.com.

Детальна інформація про уразливості з’явиться пізніше.

02.04.2008

XSS:

Дана уразливість була виправлена при зміни движка сайта - в минулому році InternetUA змінили движок свого сайта і тому прибрали старий пошуковий скрипт (і відповідно зникла дана уразливість). Але в новому движку я знайшов нові уразливості ;-) (про деякі з яких я вже повідомив адмінів, про інші повідомлю з часом). Зокрема раніше я писав в проекті MoBiC про уразливість в CAPTCHA на internetua.com.

XSS:

Дану уразливість виправили, але не повністю. Адміни лише заборонили метод GET для скрипта, тому при GET запиті вона більше не працює, але добре працює при POST :-) .

POST запит на сторінці http://internetua.com/subscribe/ (або http://internetua.com/index.php?id=39):
<BODY onload=alert(document.cookie)>В полі: Введите email.


Leave a Reply

You must be logged in to post a comment.