Websecurity - Веб безпека

Раніше я вже розповідав про дірки на auction.ua та партнерських сайтах. Тоді я перевірив деякі з раніше мною знайдених і оприлюднених уразливостей на auction.ua (зокрема Cross-Site Scripting), чи вони ще працюють, і чи вони працюють на партнерських сайтах.

Я продовжив дане дослідження і перевірив уразливості на auction.meta.ua. З наведених уразливостей три все ще працюють при невеликій зміні коду (хоча й редиректять на трохи інші URL).

XSS (IE):

На http://auction.meta.ua:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

На auction.ua:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Та на партнерських сайтах:

http://souvenirs.auction.ua

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

http://auction.shram.kiev.ua

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

http://auction.ukrop.com

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Всі веб сайти що базуються на движку auction.ua вразливі, так само як і головний сайт аукціону. А таких сайтів чимало (орієнтовно 295 партнерських сайтів).

This entry was posted on 23:58 26.12.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.