Уразливості в RotaBanner
18:30 10.12.200712.10.2007
У травні, 14.05.2007, я знайшов Cross-Site Scripting уразливості в банерній системі RotaBanner (виробництва Art. Lebedev Group).
Деталі уразливостей з’являться пізніше, спочатку повідомлю розробникам системи.
10.12.2007
Уразливості в файлі index.html в параметрах user та drop. Вразлива версія RotaBanner Local 3 (та попередні).
XSS:
http://site/account/index.html?user=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/account/index.html?drop=%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Дані уразливості в системі досі не виправлені. Причому девелопери RotaBanner, як вони відповіли мені, не вважають за потрібне виправляти ці уразливості (що наявні на багатьох сайтах, котрі використовують дану систему).