Уразливість на video.i.ua
15:29 16.07.201004.12.2009
У квітні, 17.04.2009, я знайшов Cross-Site Scripting уразливість на проекті http://video.i.ua (відео хостінг). Про що найближчим часом сповіщу адміністрацію проекту.
Останній раз стосовно проектів i.ua я писав про уразливість на board.i.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
16.07.2010
XSS:
Це Strictly social XSS. Атака спрацює при кліку на “Мне 18″.
Дану уразливість виправили, але погано, тому при невеликій модифікації коду, вона знову працює.
XSS:
Субота, 20:22 14.08.2010
А sql inj там часом небуло? ))
Неділя, 00:18 15.08.2010
Шукай, бо хто шукає - той знаходить
.
Про ті дірки які мені трапилися на очі на їхніх сайтах (при тому, що я майже зовсім не витрачав часу на їх пошук), я неодноразово згадував в новинах. Сайти на i.ua більш безпечні, ніж сайти на конкуруючих порталах, але дірки на них є, що добре видно з моїх записів.
Неділя, 10:58 15.08.2010
Повністю згідний з тобою i.ua один з найбезпечніших українських проектів ! Але і там мають бути вразливості)
П'ятниця, 23:58 20.08.2010
Саме так - порівняно з іншими порталами (як лідерами Уанету, так і менш популярними) i.ua є більш безпечним. Що в тому числі видно з моїх новин - про дірки на інших популярних порталах Уанета я згадував частіше
.
Це тому, що вони більше слідкують за безпекою ніж інші (і в основному виправляють дірки, про які я їм повідомляю, а також були випадки, що я знайшов дірки, а коли час дійшов до того, щоб зробити анонс та повідомити адмінів, так вони вже той функціонал прибрали з порталу - мовляв виправити не можуть, так хоч приберуть діряві скрипти). Але раз я згадував про сайти даного порталу в новинах, значить дірки в них є (і якщо не SQLi, так інші дірки).