Дірки на auction.meta.ua, auction.ua та партнерських сайтах
23:58 26.12.2009Раніше я вже розповідав про дірки на auction.ua та партнерських сайтах. Тоді я перевірив деякі з раніше мною знайдених і оприлюднених уразливостей на auction.ua (зокрема Cross-Site Scripting), чи вони ще працюють, і чи вони працюють на партнерських сайтах.
Я продовжив дане дослідження і перевірив уразливості на auction.meta.ua. З наведених уразливостей три все ще працюють при невеликій зміні коду (хоча й редиректять на трохи інші URL).
XSS (IE):
На http://auction.meta.ua:
На auction.ua:
Та на партнерських сайтах:
http://souvenirs.auction.ua
http://auction.shram.kiev.ua
http://auction.ukrop.com
Всі веб сайти що базуються на движку auction.ua вразливі, так само як і головний сайт аукціону. А таких сайтів чимало (орієнтовно 295 партнерських сайтів).