Нові уразливості на web20.a.ua
19:20 26.10.200921.07.2009
У листопаді, 16.11.2008, я знайшов Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://web20.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Останній раз стосовно проектів A.UA я писав про уразливості на passport.a.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
26.10.2009
Abuse of Functionality:
http://web20.a.ua/registration
Через функцію перевірки логіна можливе визначення логінів на сайті.
XSS:
POST запит на сторінці http://web20.a.ua/registration
"><script>alert(document.cookie)</script>
В полях: Пароль, Повторно введите пароль, Секретный вопрос, Секретный ответ.
Дані уразливості досі не виправлені.