Уразливості на meta.ua

23:56 24.11.2011

26.10.2007

У травні, 19.05.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://meta.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на info.meta.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.11.2011

XSS:

POST запит на сторінці http://meta.ua/meta/feedback.asp в полях: Ваше имя, E-mail, Адрес сайта, Телефон для связи, Ваше сообщение.

Insufficient Anti-automation:

http://meta.ua/meta/feedback.asp

Відправка автоматизованих POST запитів на сторінці http://meta.ua/meta/feedback.asp можлива незважаючи на захист з використанням випадкових імен полів. Даний захист обходиться за допомогою використання постійних імен полів (ті ж самі імена використовуються для багаторазової відправки запитів).

Дані уразливості були проігноровані й не виправлені (причому відповіли мені дуже несерйозним чином, після чого я більше не сповіщаю Мету про дірки на їхніх сайтах). І лише зараз дані XSS уразливості вже виправлені, причому вони розбили форму зворотнього зв’язку на три (що вибираються вказанням параметра mode), а також зробили ще окрему форму з капчею. При цьому IAA уразливість в цій формі досі не виправлена.


Leave a Reply

You must be logged in to post a comment.