Уразливості на SPI Dynamics та HP

23:53 07.05.2008

Ще у січні, 31.01.2007, я знайшов численні Cross-Site Scripting уразливості на http://www.spidynamics.com - сайті секюріті компанії SPI Dynamics. Що є розробником сканера безпеки WebInspect.

Це були UXSS уразливості, котрих всього на сайті за даними Гугла було до 78 - тобто на сайті було 78 pdf файлів не захищених від XSS в PDF. Що доволі несерйозно для секюріті компанії.

XSS:

UXSS через HackingFeeds.pdf

Після того, як в минулому році HP придбала SPI Dynamics, сайт www.spidynamics.com більше не працює і зараз редиректить на https://h10078.www1.hp.com. Підхід до безпеки після купівлі SPI Dynamics, у Hewlett-Packard залишився той самий - на UXSS вони зовсім не звертають уваги (хоча звичайних XSS вони намагаються не допускати, в тому числі і за рахунок використання WAF).

XSS:

UXSS через BillyHoffman-Ajax(in)security.pdf

Лише у HP на h71028.www7.hp.com даних уразливостей більше ;-) (бо більше pdfок) - за даними Гугла на сайті налічується до 4600 UXSS уразливостей (в 4600 pdf файлах).


Leave a Reply

You must be logged in to post a comment.