Уразливість в eCaptcha
21:26 25.09.200810.07.2008
Нещодавно, 08.07.2008, я знайшов Cross-Site Scripting в капчі eCaptcha (плагін для E107). Як раз коли виявив уразливості на www.nist.org, де і використовується ця капча.
Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.
25.09.2008
XSS:
Потрібен робочий ключ key (ecaptcha_key), який може бути отриманий скриптом. Кожен ключ працює лише один раз.
Розробник капчі обіцяв виправити дану уразливість.