Websecurity - Веб безпека

14.09.2006

Як я вже писав про уразливості в Subscribe To Comments WordPress plugin, існує ряд XSS уразливостей в даному плагіні.

І чимало сайтів в інтернеті на движку WordPress, які також використовують даний плагін. Зокрема я зробив невеличке дослідження і знайшов уразливості на http://kinoblog.com, http://www.blog.webdev.net.ua, http://thezeroboss.com, http://www.bloggingpro.com і http://ldopa.net. Більше й не шукав - цього буде досить для демонстрації небезпеки даної уразливості. Причому з чотирьох уразливостей є дві небезпечні як для адмінів, так і для користувачів, а дві уразливості небезпечні тільки для адмінів.

Адмінам kinoblog.com, www.blog.webdev.net.ua, thezeroboss.com, www.bloggingpro.com, ldopa.net я повідомлю про уразливості найближчим часом.

Детальна інформація про уразливості на даних сайтах і про уразливість в Subscribe To Comments з’явиться пізніше.

24.09.2006

XSS:

kinoblog.com
• alert(document.cookie)

www.blog.webdev.net.ua

• alert(document.cookie)

thezeroboss.com

• alert(document.cookie)

www.bloggingpro.com

• alert(document.cookie)

ldopa.net

• alert(document.cookie)

Не всі адміни даних сайтів мені відповіли (лише двоє), і лише один виправив уразливість. Тому до сих пір на більшості з цих сайтів (та й на багатьох інших в інтернеті) дана уразливість не виправлена.

This entry was posted on 17:30 24.09.2006 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.