Уразливості на kino-ukraina.com.ua

20:10 27.09.2006

20.09.2006

В минулому місяці, 22.08.2006, я знайшов декілька уразливостей (Cross-Site Scripting та Full path disclosure) на відомому проекті http://kino-ukraina.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

27.09.2006

XSS:

На сторінці http://kino-ukraina.com.ua/forum/register.php при відправлені POST запиту:
"><script>alert(document.cookie)</script>
В полях: “Имя пользователя”, “Ваш E-mail”, “Настоящее имя”, “Домашняя страничка”, “URL картинки”, “ICQ”, “AIM”, “Yahoo IM”, “MSN”, “Jabber” (та в полі “Подпись” - з дещо іншим запитом).

Full path disclosure:

http://kino-ukraina.com.ua/search/

Уразливості досі не виправлені.


Leave a Reply

You must be logged in to post a comment.