Websecurity - Веб безпека

24.07.2009

У листопаді, 30.11.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://www.sprinter.ru (інтернет магазин). Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на matrix.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.01.2011

XSS:

• alert(document.cookie)

Дану уразливість вони спробували виправити, але погано, тому з невеликою зміною коду вона знову працює.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

На сторінках з книгами використовується уразлива капча (в формі коментарів).

XSS (persistent):

На сторінках з книгами є persistent XSS уразливість в полі “сообщение” (в параметрі bigtext форми).

Дані уразливості досі не виправлені.

This entry was posted on 15:04 05.01.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.