Уразливості на intradayinvestmentgroup.com
19:33 28.01.201020.08.2009
У грудні, 24.12.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті https://www.intradayinvestmentgroup.com (це інвестиційний сайт, власники якого заявляють про високий рівень його безпеки). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
28.01.2010
XSS:
POST запит на сторінці https://www.intradayinvestmentgroup.com /reg_ru.php в полях: E-Mail, Имя, Фамилия.
XSS (persistent):
Окрім того, що код виконується одразу, в подальшому код автоматично спрацьовує на сторінці reg_ru.php.
Insufficient Anti-automation:
https://www.intradayinvestmentgroup.com/reg_ru.php
На сторінці реєстрації відсутній захист від автоматизованих запитів (капча).
Зараз сайт не працює. Цілком можливо, що саме через дірки сайт і припинив свою роботу. Про такі випадки я згадував неодноразово.