Websecurity - Веб безпека

17.04.2008

У жовтні, 06.10.2007, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості на http://www.ibm.com - сайті компанії IBM. Про що найближчим часом сповіщу адміністрацію сайта.

Компанії IBM, що є секюріті вендором та власником ІБ компаній ISS і Watchfire, варто більше приділяти уваги безпеці власних сайтів.

Детальна інформація про уразливості з’явиться пізніше.

15.10.2008

XSS:

• alert(document.cookie)
• alert(document.cookie) (Mozilla)
• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

https://www.ibm.com/developerworks/secure/email-it.jsp

Форма немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

https://www.ibm.com/developerworks/secure/email-it.jsp

В формі можна вказати емайл призначення, емайл та ім’я відправника, тему і зміст листа, тому її можна використати для розсилання спаму. А з врахуванням Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.

Дані уразливості досі не виправлені.

This entry was posted on 20:31 15.10.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.