Websecurity - Веб безпека

Раніше я писав уразливість на www.webpark.ru - це була Cross-Site Scripting уразливість, яка була виправлена адміном сайта. Але при цьому в дірявому скрипті залишилися інші уразливості - Redirector та Remote XSS Include.

Про тип Cross-Site Scripting уразливостей Remote XSS Include я вже писав.

Учора, 15.10.2008, проводячи секюріті дослідження, я виявив новий вид Remote XSS Include (причому даний вид RXI дозволяє отримати доступ до кукісів). В результаті я розробив класифікацію видів Remote XSS Include, що є типом Cross-Site Scripting уразливостей, і яка тепер складається з трьох видів (замість одного загального). Про що я напишу окрему статтю. І уразливість, що відноситься до нового вида RXI, я виявив учора на www.webpark.ru.

XSS (RXI self-contained):

• alert(document.cookie)
• редиректор

This entry was posted on 23:53 16.10.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.