Уразливості на news.yahoo.com
17:20 26.06.201027.11.2009
У квітні, 07.04.2009, я знайшов Abuse of Functionality, Insufficient Anti-automation та HTML Injection уразливості на сайті http://news.yahoo.com. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно сайтів компанії Yahoo раніше я вже писав про уразливості на babelfish.altavista.com та babelfish.yahoo.com.
Детальна інформація про уразливості з’явиться пізніше.
26.06.2010
Abuse of Functionality:
http://m2f.news.yahoo.com/mailto/?prop=news&locale=us
В даній формі можна вказати необхідні дані для розсилання спаму. А з врахуванням функції “Send me a copy of this message” та Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.
Insufficient Anti-automation:
http://m2f.news.yahoo.com/mailto/?prop=news&locale=us
В даній формі немає захисту від автоматизованих запитів (капчі).
HTML Injection (Link Injection):
Для обходу захисту, що дозволяє вставляти тільки URL адреси сайтів Яху, використовується редиректор.
Дані уразливості досі не виправлені.