Уразливості на tsn.ua
20:26 28.08.200904.06.2009
У вересні, 14.09.2008, я знайшов Information Leakage, Redirector і Insufficient Anti-automation уразливості (а сьогодні ще й Cross-Site Scripting і Denial of Service) на http://tsn.ua - сайті ТСН, новин канала 1+1. Про що найближчим часом сповіщу адміністрацію сайта.
В той день як раз вийшла телепередача зі мною на 1+1.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
28.08.2009
Information Leakage:
http://tsn.ua/adserver/1
Витік логіна.
Redirector:
http://tsn.ua/adserver/adclick.php?maxdest=http://websecurity.com.ua
http://tsn.ua/adserver/adclick.php?dest=http://websecurity.com.ua
Insufficient Anti-automation:
В новинах в формі коментарів не було захисту від автоматизованих запитів (капчі). Зараз вже зробили капчу.
Insufficient Anti-automation:
http://tsn.ua/bin/ua_form.php
В формі немає захисту від автоматизованих запитів (капчі).
XSS:
DoS (Looped DoS):
http://tsn.ua/adserver/adclick.php?
Більшість з даних уразливостей досі не виправлені.