Уразливості на tinyurl.com

23:54 28.07.2009

Сьогодні я знайшов Cross-Site Scripting уразливості на проекті http://tinyurl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на tinyurl.com.

XSS:

Дана XSS працює в браузерах Firefox та Opera, в зв’язку з Cross-Site Scripting уразливостями в Firefox та Opera. В даних браузерах можливе виконання JavaScript коду в location-header редиректорі на tinyurl.com (як й інших location-header редиректорах в Мережі). Що може бути викиростане для розповсюдження malware через даний сервіс редирекції.

Дана атака не дозволяє дістатися до кукісів. Для цього можна використати іншу XSS (через сервіс превью на preview.tinyurl.com), що дозволяє дістатися до кукісів та DOM.

XSS (Mozilla / Firefox / Opera / Chrome):

Це Strictly social XSS про яку я вже писав раніше.

Сервіс превью також доступний на домені tinyurl.com.

XSS (Mozilla / Firefox / Opera / Chrome):

Це також Strictly social XSS.


Leave a Reply

You must be logged in to post a comment.