Нові уразливості на passport.a.ua

20:06 19.10.2009

20.07.2009

У листопаді, 16.11.2008, я знайшов Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://passport.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше стосовно проектів A.UA я писав про уразливості на web20.a.ua та про уразливість на passport.a.ua.

Детальна інформація про уразливості з’явиться пізніше.

19.10.2009

Abuse of Functionality:

http://passport.a.ua/register/

Через функцію перевірки логіна можливе визначення логінів на сайті.

XSS:

POST запит на сторінці http://passport.a.ua/register/

"><script>alert(document.cookie)</script>В полях: Ваш логин, Ник, Ваш пароль, Еще раз, Альтернативный e-mail, Ответ на вопрос.

Дані уразливості досі не виправлені.


Leave a Reply

You must be logged in to post a comment.