Websecurity - Веб безпека

21.07.2009

У листопаді, 16.11.2008, я знайшов Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://web20.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів A.UA я писав про уразливості на passport.a.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.10.2009

Abuse of Functionality:

http://web20.a.ua/registration

Через функцію перевірки логіна можливе визначення логінів на сайті.

XSS:

POST запит на сторінці http://web20.a.ua/registration

"><script>alert(document.cookie)</script>В полях: Пароль, Повторно введите пароль, Секретный вопрос, Секретный ответ.

Дані уразливості досі не виправлені.

This entry was posted on 19:20 26.10.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.