Websecurity - Веб безпека

16.07.2009

У листопаді, 11.11.2008, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості на проекті http://www.odesk.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.odesk.com.

Детальна інформація про уразливості з’явиться пізніше.

07.10.2009

XSS (IE):

POST запит на сторінці https://www.odesk.com/ticket.php

" style="xss:expression(alert(document.cookie))"В полях: Name, oDesk Username, Email.

Insufficient Anti-automation:

https://www.odesk.com/ticket.php

https://www.odesk.com/ticket.php?key=~~1472bcfe1c8803e1

На даних формах немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

https://www.odesk.com/ticket.php

https://www.odesk.com/ticket.php?key=~~1472bcfe1c8803e1

Враховуючи те, що з даних форм емайл відправляється також на заданий емайл користувача, то окрім розсилання спаму власникам сайта, також можна розсилати спам на довільні емайли.

Дані уразливості досі не виправлені.

This entry was posted on 20:11 07.10.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.