Уразливості на www.zn.ua
15:23 04.08.201017.12.2009
У квітні, 25.04.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.zn.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію сайта.
Даний сайт доступний за доменами www.zn.ua, www.zn.com.ua, www.zn.kiev.ua, www.mirror.kiev.ua, www.zerkalo-nedeli.com, www.dt.ua та www.mw.ua. І відповідно атаки можуть відбуватися за усіма доменами. Враховуючи, що це persistent XSS, то вона може використовуватися для інфікування сайта вірусами.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
04.08.2010
Insufficient Anti-automation:
http://www.zn.ua/1000/1550/66049/
На сторінках з новинами в формі коментарів відсутній захист від автоматизованих запитів (капча).
XSS (Persistent):
POST запит в формі коментарів на сторінках з новинами:
"><script>alert(document.cookie)</script>
В полі Комментарий.
Якщо XSS уразливість вже виправлена (і в нових коментарях неможливе використання тегів), то Insufficient Anti-automation уразливість досі не виправлена.