Уразливості на www.stat24.com.ua

20:13 18.08.2008

18.03.2008

У серпні, 24.08.2007, а також додатково сьогодні, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті http://www.stat24.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.08.2008

Full path disclosure:

http://www.stat24.com.ua/ua/ranking/frazpc.pl

Дана уразливість вже виправлена (але вона все ще зафіксована в кеші Гугла).

XSS:

Уразливості виявив на доменах http://www.stat24.com.ua і http://www.stat24.ru.

Дані уразливості вже виправлені, але виправлені не повністю, тому при невеличкій модифікації одна XSS знову працює ;-) (на обох доменах).

XSS:

http://www.stat24.com.ua

http://www.stat24.ru

Наведені приклади XSS для Mozilla і Firefox. Для IE можуть бути зроблені аналогічні коди.


Leave a Reply

You must be logged in to post a comment.