Уразливості на www.fraza.ua
15:08 31.05.201007.11.2009
У березні, 16.03.2009, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://www.fraza.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
31.05.2010
XSS:
Redirector:
http://www.fraza.ua/aw.php?u=http://websecurity.com.ua
http://ads.fraza.ua/www/delivery/ck.php?dest=http://websecurity.com.ua
Окрім того, сьогодні я виявив ще й FPD в даному скрипті. Якщо зайти на нього напряму (без реферера), то виводиться, хоча й не завжди, повний шлях на сервері.
Full path disclosure:
http://www.fraza.ua/aw.php?u=
Дані уразливості досі не виправлені. Та до XSS і Redirector уразливостей ще додалася FPD.