Websecurity - Веб безпека

03.04.2008

У вересні, 16.09.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://finance.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.09.2008

XSS:

POST запит на сторінці http://finance.ua/ru/feedback
"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш E-mail.

</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.

Дані уразливості вже виправлені.

Insufficient Anti-automation:

В контактній формі немає захисту від автоматизованих запитів.

А ось дана уразливість досі не виправлена.

This entry was posted on 20:30 17.09.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.