Уразливості на www.interface.ru
20:07 11.12.200903.08.2009
У грудні, 12.12.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про уразливості на www.interface.ru.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
11.12.2009
Insufficient Anti-automation:
http://www.interface.ru/services/mailfrompage.asp
Відсутній захист від автоматизованих запитів (капча).
Abuse of Functionality:
http://www.interface.ru/services/mailfrompage.asp
В параметрі toaddr можна задати довільний емайл адрес. Що дозволяє розсилати спам, враховуючи можливість модифікації й інших полів форми. А з врахуванням Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.
XSS:
- alert(document.cookie)
- alert(document.cookie)
- alert(document.cookie)
- alert(document.cookie)
- цікавий
- html включення
Дані уразливості досі не виправлені.