Уразливість на bezpeka-shop.com

20:05 20.01.2009

02.07.2008

У листопаді, 02.11.2007, я знайшов Cross-Site Scripting (причому persistent) уразливість на проекті http://bezpeka-shop.com (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

20.01.2009

XSS:

POST запит на сторінці http://bezpeka-shop.com/shopping_cart.php
1<script>alert(document.cookie)</script>В полі Количество (для вже доданого в корзину товару, який в свою чергу може бути доданий через CSRF уразливість).

Після ін’єкції коду, він спрацьовує на кожній сторінці сайта (persistent XSS).

Дана уразливість досі не виправлена.


2 відповідей на “Уразливість на bezpeka-shop.com”

  1. Андрій каже:

    Добрий день!
    Дуже дякуємо Вам за повідомлення про уразливість сайту.
    Прошу Вас більш докладніше розповісти про уразливість, ймовірні наслідки, та можливі варіанти вирішення проблеми.
    Дуже дякуємо.

  2. MustLive каже:

    Андрій

    Завжди будь ласка.

    Уразливість в даному випадку Cross-Site Scripting (persistent). Тому вам потрібно дізнатися (якщо ви не знайомі з даною темою), що це за клас уразливостей, а про XSS я достатньо писав у себе на сайті.

    Ризики: атаки на адмінів, користувачів та відвідувачів сайта. В тому числі можливе захоплення акаунтів адмінів та користувачів сайта.

    Вирішення проблеми: виправлення XSS дірок. Та слідкування за безпекою свого сайту. Що потрібен робити кожен онлайн магазин, тим паче магазин секюріті тематики.

Leave a Reply

You must be logged in to post a comment.