Нові уразливості на passport.a.ua
20:06 19.10.200920.07.2009
У листопаді, 16.11.2008, я знайшов Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://passport.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Раніше стосовно проектів A.UA я писав про уразливості на web20.a.ua та про уразливість на passport.a.ua.
Детальна інформація про уразливості з’явиться пізніше.
19.10.2009
Abuse of Functionality:
http://passport.a.ua/register/
Через функцію перевірки логіна можливе визначення логінів на сайті.
XSS:
POST запит на сторінці http://passport.a.ua/register/
"><script>alert(document.cookie)</script>
В полях: Ваш логин, Ник, Ваш пароль, Еще раз, Альтернативный e-mail, Ответ на вопрос.
Дані уразливості досі не виправлені.