Нові уразливості на fileshare.in.ua
23:58 04.12.2008У січні, 30.01.2008, я знайшов Cross-Site Scripting уразливості на проекті http://fileshare.in.ua (файлообмінник та хостінг файлів). Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливість на fileshare.in.ua. Враховуючи, що попереднього разу адміністрація проекту не відповіла на мій лист і тихенько собі дірку виправила, забувши мені подякувати (з чим я часто стикаюся в своїй практиці), то цього разу я одразу оприлюднюю деталі уразливостей (full disclosure).
XSS:
Зазначу, що раніше, 04.10.2007, я знайшов Insufficient Anti-automation уразливість в капчі на fileshare.in.ua. Вона була вразлива до Guessing from URL bypass method та MustLive CAPTCHA bypass method, про які я розповідав в проекті MoBiC. Але пізніше вони змінили капчу.