Уразливість на www.tracker.com.ua
19:08 22.04.200905.12.2008
У лютому, 02.02.2008, я знайшов Cross-Site Scripting уразливість на сайті http://www.tracker.com.ua системи Intellitracker Enterprise. Про що найближчим часом сповіщу адміністрацію системи.
Стосовно систем аналізу відвідуванності сайтів, я раніше вже писав про уразливість на gs.spylog.ru та уразливості в Power Phlogger.
Детальна інформація про уразливість з’явиться пізніше.
22.04.2009
XSS:
Дана уразливість досі не виправлена.
Четвер, 23:01 23.04.2009
Пасивна XSS не так актуальна, треба активні шукати.
П'ятниця, 00:46 24.04.2009
ZEXEL, і пасивну XSS можна використати для атаки, треба лише вміти це робити. В руках професіонала будь-яка уразливість може становити загрозу
.
Тип паче, що на даному сайті ззовні доступна лише форма логіну (щоб дістатися до юзерського акаунта, треба спочатку мати даний акаунт в системі). І єдина доступна форма й виявилися уразливою. З чого можна зробити висновок про рівень безпеки системи.
Будь ласка, ZEXEL, шукай, як є час. Активні XSS я знаходжу регулярно (але значно рідше ніж reflected та інші типи XSS). Можеш пошукати в мене на сайті по фразі persistent xss і подивитися на знайдені мною активні XSS.