Websecurity - Веб безпека

Лише почався новий день, а я вже сьогодні знайшов чимало уразливостей на ряді сайтів . Просто не встигаєш писати про все на сайті і посилати всім адмінам емайли з повідомленням про уразливості.

Згадаю лише про одного з сьогоднішніх номінантів. Знайшов ряд уразливостей на веб сайті http://www.effectt.com (система обміну лінками). Про що вже сповістив адміністрацію.

• Full path disclosure уразливості - на кожній сторінці веб сайту виводиться повідомлення про помилку, і при цьому виводиться повний шлях на сервері.
• Cross-Site Scripting уразливості - скрипт effectt.com/links/add/ уразливий до XSS нападу. В кожне поле форми можна підставити ява-скрипт код, який виконається у браузері жертви. Для експлуатації необхідно послати POST-запит скрипту.

This entry was posted on 03:36 29.07.2006 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.