Websecurity - Веб безпека

У червні, 02.06.2007, під час проведення Місяця багів в Пошукових Системах, Trancer, один з відвідувачів мого сайту, повідомив, що знайшов ряд уразливостей на сайтах Мети (5 XSS та 2 редиректори, з яких 1 XSS та 1 редиректор вже були знайдені мною раніше). Про дані уразливості я написав адміністрації Мети.

Як я перевірив деякий час тому, Мета виправила не всі уразливості. Зокрема серед 5 Cross-Site Scripting, одна була зовсім не виправлена, а одна була виправлена не повністю. Причому обидві уразливості на http://inter-biz.meta.ua.

XSS:

В скрипті index.php в параметрі q.

• alert(document.cookie)

Дана уразливість виправлена частково. При невеличкій модифікації коду вона знову працює.

• alert(document.cookie) (IE)

В скрипті index.php в параметрі c.

• alert(document.cookie)
• цікавий
• html включення (PR5)

Компанії Мета потрібно більш краще слідкувати за безпекою своїх сайтів.

This entry was posted on 23:53 14.01.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.