Websecurity - Веб безпека

У червні, 13.06.2008, я знайшов Cross-Site Scripting та Denial of Service уразливості на проекті http://www.audiobooks.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно дірок на сайтах онлайн магазинів останній раз я писав про уразливості на www.rozetka.com.ua та уразливість на esmi.subscribe.ru.

XSS:

• alert(document.cookie)
• цікавий
• html включення

DoS:

http://www.audiobooks.com.ua/index.php?searchstring=&show_all=yes
http://www.audiobooks.com.ua/index.php?searchstring=%25&show_all=yes

З бази даних виводиться інформація про всі товари сайта.

Раніше я вже згадував про цей онлайн магазин, що рівень його безпеки залишає бажати кращого (коли я й знайшов ці дірки). Окрім вищезгаданих уразливостей на сайті є чимало інших, що я можу сказати швидко оглянувши декілька сторінок сайту. Зокрема Brure Force, Insufficient Anti-automation та Cross-Site Scripting уразливості. Власникам онлайн магазинів варто більше слідкувати за їх безпекою.

This entry was posted on 23:53 17.03.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.