Websecurity - Веб безпека

27.11.2009

У квітні, 07.04.2009, я знайшов Abuse of Functionality, Insufficient Anti-automation та HTML Injection уразливості на сайті http://news.yahoo.com. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно сайтів компанії Yahoo раніше я вже писав про уразливості на babelfish.altavista.com та babelfish.yahoo.com.

Детальна інформація про уразливості з’явиться пізніше.

26.06.2010

Abuse of Functionality:

http://m2f.news.yahoo.com/mailto/?prop=news&locale=us

В даній формі можна вказати необхідні дані для розсилання спаму. А з врахуванням функції “Send me a copy of this message” та Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.

Insufficient Anti-automation:

http://m2f.news.yahoo.com/mailto/?prop=news&locale=us

В даній формі немає захисту від автоматизованих запитів (капчі).

HTML Injection (Link Injection):

• редиректор

Для обходу захисту, що дозволяє вставляти тільки URL адреси сайтів Яху, використовується редиректор.

Дані уразливості досі не виправлені.

This entry was posted on 17:20 26.06.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.