Уразливості на www.odesk.com

23:58 10.11.2008

Нещодавно, 04.11.2008, я знайшов Cross-Site Scripting, Redirector та Denial of Service уразливості на популярному проекті http://www.odesk.com. Про що найближчим часом сповіщу адміністрацію проекту.

Redirector та DoS (через редиректор) дірки в оДеску знайшов trovich, про що він повідомив мені. Дані уразливості обмежені, тому що для атаки вимагають дії користуча на сторінці сайта (підтвердження), в зв’язку з захистом від CSRF в редиректорі.

Перевіривши даний редиректор я виявив XSS уразливість. Яку також можна використати, окрім інших XSS атак, для встановлення кукіса користувачу (для обходу сторінки підтвердження). Що дозволить проводити автоматичні Redirector та DoS атаки.

XSS:

Redirector:

http://www.odesk.com/leaving_odesk.php?ref=http://websecurity.com.ua

Редиректор має захист від автоматичного використання. Але з використанням функції автоматичного редиректа, зокрема через XSS, це можна обійти.

DoS (Looped DoS):

http://www.odesk.com/leaving_odesk.php?ref=http://www.odesk.com/leaving_odesk.php?ref=

З використанням автоматичного редиректа.


2 відповідей на “Уразливості на www.odesk.com”

  1. trovich каже:

    Вже виправили XSS.

  2. MustLive каже:

    Цю XSS виправили. Але їх ще очікують нові XSS та Insufficient Anti-automation дірки ;-) . Про що я з часом напишу.

Leave a Reply

You must be logged in to post a comment.