Уразливості на www.fraza.ua

15:08 31.05.2010

07.11.2009

У березні, 16.03.2009, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://www.fraza.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

31.05.2010

XSS:

Redirector:

http://www.fraza.ua/aw.php?u=http://websecurity.com.ua
http://ads.fraza.ua/www/delivery/ck.php?dest=http://websecurity.com.ua

Окрім того, сьогодні я виявив ще й FPD в даному скрипті. Якщо зайти на нього напряму (без реферера), то виводиться, хоча й не завжди, повний шлях на сервері.

Full path disclosure:

http://www.fraza.ua/aw.php?u=

Дані уразливості досі не виправлені. Та до XSS і Redirector уразливостей ще додалася FPD.


Leave a Reply

You must be logged in to post a comment.