Websecurity - Веб безпека

Ще в позаминулому році, 28.09.2006, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://dnevnik.bigmir.net. І ці уразливості як були довгий час на сервісі блогів Бігміра до вказаної дати, так й залишилися після неї - вони по сьогодні так і не були виправлені. Лише після початку використання WAF (з осені минулого року) на Бігмірі, можливості використання даних уразливостей зменшились, але самі дірки так і не були виправлені .

Що відповідним чином характеризує даний блог-сервіс, як й інші сервіси блогів, де я регулярно знаходжу уразливості. Останніми я згадував уразливості на livejournal.com та на blog.i.ua.

XSS (через HTTP Response Splitting):

• alert(document.cookie)

Дана XSS уразливість вже не працює (в зв’язку з WAF).

Redirector:

http://dnevnik.bigmir.net/go/?url=http://websecurity.com.ua

This entry was posted on 23:57 21.06.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.