Websecurity - Веб безпека

02.05.2008

У жовтні, 12.10.2007, я знайшов Cross-Site Scripting уразливість на сайті http://blog.korrespondent.net. Про що я, до речі, розповідав на конференції BlogCamp 2007. Тоді як раз сайт відкрився після взлому, що відбувся влітку, і Бігміровці зробили вигляд, що вони там все пофіксили (але сайт так і залишився на Вордпресі). І одразу, як зайшов на сайт, я знайшов XSS уразливість.

XSS:

• alert(document.cookie)

Згодом Багмір розробив власний движок для сайта і перевів його на новий домен http://blogs.korrespondent.net. Нові блоги на кореспонденті вже більш безпечені, порівняно з попередньою версією сайту, але уразливості там цілком можливі (зокрема на сайті є невеликі витоки інформації).

Тому сьогодні, щоб згадати в новинах про робочу уразливість, я знайшов нову Cross-Site Scripting уразливість на сайті http://korrespondent.net. Про що найближчим часом сповіщу адміністрацію сайта. Причому WAF Бігміру не допоміг, про що я вже їм казав - як на інших сайтах даної компанії, так і на кореспонденті, наявні уразливості (котрі я регулярно в них знаходжу) і їхній Web Application Firewall елементарно обходиться.

Детальна інформація про уразливість з’явиться пізніше.

07.11.2008

XSS:

• alert(document.cookie) (Mozilla)

Дана уразливість вже виправлена.

This entry was posted on 19:14 07.11.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.