Websecurity - Веб безпека

03.08.2009

У грудні, 12.12.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.interface.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.12.2009

Insufficient Anti-automation:

http://www.interface.ru/services/mailfrompage.asp

Відсутній захист від автоматизованих запитів (капча).

Abuse of Functionality:

http://www.interface.ru/services/mailfrompage.asp

В параметрі toaddr можна задати довільний емайл адрес. Що дозволяє розсилати спам, враховуючи можливість модифікації й інших полів форми. А з врахуванням Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

This entry was posted on 20:07 11.12.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.