Websecurity - Веб безпека

18.07.2008

У жовтні, 28.10.2007, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайтах http://imu.org.ua (сайт виставки “Інтернет-маркетинг в Україні”) та http://mister-rich.com (онлайн магазин). Про що найближчим часом сповіщу адміністрації сайтів.

Про дірки на сайтах виставок я згадую регулярно - останній раз я писав про уразливість на www.itmg.com.ua. Про діряві сайти онлайн магазинів також - уразливість на bezpeka-shop.com.

Детальна інформація про уразливості з’явиться пізніше.

P.S.

Причина, чому я в одній новині пишу одразу про дірки на двох сайтах, полягає в тому, що на обох них використовується одна і та ж сама капча (дірява) - від mister-rich.com (XSS дірки свої на обох сайтах). Так було раніше, як я знайшов цю дірку - бо нещодавно я виявив, що адміни imu.org.ua відмовилися від цієї капчі . Мабудь зрозуміли (особливо після MoBiC), що ця капча дірява й неякісна. Зазначу, що цю саму діряву капчу я вже раніше зустрічав на іншому сайті, і про неї вже писав в новинах.

Ну, а на mister-rich.com дірява капча ще використовуються. До того ж, як повідомляється на сайті, їх форум був похаканий . Що не дивно, враховуючі дірки на сайті.

27.12.2008

Insufficient Anti-automation:

Уразливість в капчі на imu.org.ua та mister-rich.com. Дана капча вразлива до двох методів обходу: Code guessing bypass method та MustLive CAPTCHA bypass method. Саме ця дірява капча використовується на itua.info і про неї я вже писав в записі MoBiC-06: itua.info CAPTCHA bypass.

http://imu.org.ua

XSS (UXSS):

• alert(document.cookie)
• alert(document.cookie)
• цікавий

http://mister-rich.com

XSS:

• alert(document.cookie)

Дані уразливості на обох сайтах досі не виправлені.

This entry was posted on 19:35 27.12.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.