Уразливості на www.stat24.com.ua
20:13 18.08.200818.03.2008
У серпні, 24.08.2007, а також додатково сьогодні, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті http://www.stat24.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
18.08.2008
Full path disclosure:
http://www.stat24.com.ua/ua/ranking/frazpc.pl
Дана уразливість вже виправлена (але вона все ще зафіксована в кеші Гугла).
XSS:
Уразливості виявив на доменах http://www.stat24.com.ua і http://www.stat24.ru.
Дані уразливості вже виправлені, але виправлені не повністю, тому при невеличкій модифікації одна XSS знову працює (на обох доменах).
XSS:
http://www.stat24.com.ua
http://www.stat24.ru
Наведені приклади XSS для Mozilla і Firefox. Для IE можуть бути зроблені аналогічні коди.