Websecurity - Веб безпека

20.08.2008

У грудні, 03.12.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting уразливості на проекті http://www.yarmap.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.02.2009

XSS:

• alert(document.cookie) (виправили)
• alert(document.cookie) (виправили)
• html включення

Якщо першу уразливість виправили повністью, то в другій виправили лише XSS, але не html включення. До того ж уразливість виправили погано - виправили лише атаку через GET, тому можлива атака через POST.

XSS:

POST запит на сторінці http://www.yarmap.com.ua
"><script>alert(document.cookie)</script>В полі Що шукаємо.

XSS через GET:

• alert(document.cookie)
• цікавий

This entry was posted on 20:06 20.02.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.