Уразливості на dnevnik.bigmir.net
23:57 21.06.2008Ще в позаминулому році, 28.09.2006, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://dnevnik.bigmir.net. І ці уразливості як були довгий час на сервісі блогів Бігміра до вказаної дати, так й залишилися після неї - вони по сьогодні так і не були виправлені. Лише після початку використання WAF (з осені минулого року) на Бігмірі, можливості використання даних уразливостей зменшились, але самі дірки так і не були виправлені .
Що відповідним чином характеризує даний блог-сервіс, як й інші сервіси блогів, де я регулярно знаходжу уразливості. Останніми я згадував уразливості на livejournal.com та на blog.i.ua.
XSS (через HTTP Response Splitting):
Дана XSS уразливість вже не працює (в зв’язку з WAF).
Redirector:
http://dnevnik.bigmir.net/go/?url=http://websecurity.com.ua