Уразливість на bezpeka-shop.com
20:05 20.01.200902.07.2008
У листопаді, 02.11.2007, я знайшов Cross-Site Scripting (причому persistent) уразливість на проекті http://bezpeka-shop.com (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливість з’явиться пізніше.
20.01.2009
XSS:
POST запит на сторінці http://bezpeka-shop.com/shopping_cart.php
1<script>alert(document.cookie)</script>В полі Количество (для вже доданого в корзину товару, який в свою чергу може бути доданий через CSRF уразливість).
Після ін’єкції коду, він спрацьовує на кожній сторінці сайта (persistent XSS).
Дана уразливість досі не виправлена.
П'ятниця, 10:16 04.07.2008
Добрий день!
Дуже дякуємо Вам за повідомлення про уразливість сайту.
Прошу Вас більш докладніше розповісти про уразливість, ймовірні наслідки, та можливі варіанти вирішення проблеми.
Дуже дякуємо.
Вівторок, 23:49 08.07.2008
Андрій
Завжди будь ласка.
Уразливість в даному випадку Cross-Site Scripting (persistent). Тому вам потрібно дізнатися (якщо ви не знайомі з даною темою), що це за клас уразливостей, а про XSS я достатньо писав у себе на сайті.
Ризики: атаки на адмінів, користувачів та відвідувачів сайта. В тому числі можливе захоплення акаунтів адмінів та користувачів сайта.
Вирішення проблеми: виправлення XSS дірок. Та слідкування за безпекою свого сайту. Що потрібен робити кожен онлайн магазин, тим паче магазин секюріті тематики.