Websecurity - Веб безпека

У січні, 24.01.2008, я знайшов Cross-Site Scripting уразливість на проекті http://www.slideshare.net. Яку вже виправили, доки дішла черга до її оприлюднення в мене на сайті, тому сьогодні я знайшов нові Abuse of Functionality, Insufficient Anti-automation та Denial of Service уразливості на даному проекті. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie) (вже виправлена)

Дані три уразливості в функції “URL upload”. Вони подібні до уразливостей на regex.info, про які я писав.

Abuse of Functionality:

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/file&title=test&dwnld_chk=on

Віддалене викачення файлів, що може бути використано для атаки на інші сайти.

Insufficient Anti-automation:

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/file&title=test&dwnld_chk=on

DoS:

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/big_file&title=test&dwnld_chk=on

This entry was posted on 23:54 08.12.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.