Уразливості на inform.pl.ua
21:24 29.08.200821.04.2008
У серпні, 04.09.2007, а також додатково сьогодні, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті http://inform.pl.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
29.08.2008
Сайт змінив свій домен з http://inform.pl.ua на http://poltava.info (і зі старого домена відбувається редирект на новий).
Full path disclosure:
http://inform.pl.ua/goroda.php
http://inform.pl.ua/link/phone.php
http://inform.pl.ua/link/confirm_image.php
http://inform.pl.ua/link/menu.php
XSS:
Дані уразливості вже виправлені. Але замість старої XSS дірки в пошуці була зроблена нова XSS в пошуці по сайту. На оновленому сайті http://poltava.info був розміщений новий локальний пошуковець - Користувацький пошук Гугла, також відомий як Google Custom Search Engine, про дірку в якому я писав (подібне й має місце на даному сайті).
XSS: