Websecurity - Веб безпека

20.08.2009

У грудні, 24.12.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті https://www.intradayinvestmentgroup.com (це інвестиційний сайт, власники якого заявляють про високий рівень його безпеки). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.01.2010

XSS:

POST запит на сторінці https://www.intradayinvestmentgroup.com /reg_ru.php в полях: E-Mail, Имя, Фамилия.

XSS (persistent):

• alert(document.cookie)

Окрім того, що код виконується одразу, в подальшому код автоматично спрацьовує на сторінці reg_ru.php.

Insufficient Anti-automation:

https://www.intradayinvestmentgroup.com/reg_ru.php

На сторінці реєстрації відсутній захист від автоматизованих запитів (капча).

Зараз сайт не працює. Цілком можливо, що саме через дірки сайт і припинив свою роботу. Про такі випадки я згадував неодноразово.

This entry was posted on 19:33 28.01.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.