Уразливості на imu.org.ua та mister-rich.com
19:35 27.12.200818.07.2008
У жовтні, 28.10.2007, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайтах http://imu.org.ua (сайт виставки “Інтернет-маркетинг в Україні”) та http://mister-rich.com (онлайн магазин). Про що найближчим часом сповіщу адміністрації сайтів.
Про дірки на сайтах виставок я згадую регулярно - останній раз я писав про уразливість на www.itmg.com.ua. Про діряві сайти онлайн магазинів також - уразливість на bezpeka-shop.com.
Детальна інформація про уразливості з’явиться пізніше.
P.S.
Причина, чому я в одній новині пишу одразу про дірки на двох сайтах, полягає в тому, що на обох них використовується одна і та ж сама капча (дірява) - від mister-rich.com (XSS дірки свої на обох сайтах). Так було раніше, як я знайшов цю дірку - бо нещодавно я виявив, що адміни imu.org.ua відмовилися від цієї капчі . Мабудь зрозуміли (особливо після MoBiC), що ця капча дірява й неякісна. Зазначу, що цю саму діряву капчу я вже раніше зустрічав на іншому сайті, і про неї вже писав в новинах.
Ну, а на mister-rich.com дірява капча ще використовуються. До того ж, як повідомляється на сайті, їх форум був похаканий . Що не дивно, враховуючі дірки на сайті.
27.12.2008
Insufficient Anti-automation:
Уразливість в капчі на imu.org.ua та mister-rich.com. Дана капча вразлива до двох методів обходу: Code guessing bypass method та MustLive CAPTCHA bypass method. Саме ця дірява капча використовується на itua.info і про неї я вже писав в записі MoBiC-06: itua.info CAPTCHA bypass.
http://imu.org.ua
XSS (UXSS):
http://mister-rich.com
XSS:
Дані уразливості на обох сайтах досі не виправлені.