Уразливості на www.internetua.com
19:32 02.04.200811.10.2007
У травні, 20.05.2007 (і додатково сьогодні), я знайшов Cross-Site Scripting уразливості на проекті http://www.internetua.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про уразливості на www.internetua.com.
Детальна інформація про уразливості з’явиться пізніше.
02.04.2008
XSS:
Дана уразливість була виправлена при зміни движка сайта - в минулому році InternetUA змінили движок свого сайта і тому прибрали старий пошуковий скрипт (і відповідно зникла дана уразливість). Але в новому движку я знайшов нові уразливості (про деякі з яких я вже повідомив адмінів, про інші повідомлю з часом). Зокрема раніше я писав в проекті MoBiC про уразливість в CAPTCHA на internetua.com.
XSS:
Дану уразливість виправили, але не повністю. Адміни лише заборонили метод GET для скрипта, тому при GET запиті вона більше не працює, але добре працює при POST .
POST запит на сторінці http://internetua.com/subscribe/ (або http://internetua.com/index.php?id=39):
<BODY onload=alert(document.cookie)>
В полі: Введите email.