Websecurity - Веб безпека

14.04.2008

У вересні, 14.09.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на http://www.cisco.com - сайті компанії Cisco. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.10.2008

XSS:

• alert(document.cookie) (IE)

Компанія змінила локальний пошуковець, тому дана уразливість відсутня (але вона все ще є в попередньому пошуковому скрипті).

Insufficient Anti-automation:

https://www.cisco.com/authc/forms/CDClogin.fcc

http://tools.cisco.com/RPF/passwordreset.do

Форми не мають захисту від автоматизованих запитів (капчі). Insufficient Anti-automation дірки доволі поширені на сайтах Cisco.

Дані уразливості досі не виправлені.

This entry was posted on 19:20 17.10.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.