Websecurity - Веб безпека

28.12.2009

У травні, 03.05.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на секюріті проекті http://www.md5this.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.08.2010

XSS:

POST запит на сторінці http://www.md5this.com/crack-it-/index.php
<script>alert(document.cookie)</script>В полі для md5 хеша (якщо правильно ввести капчу).

XSS через GET (з обходом капчі):

• alert(document.cookie)
• цікавий

Insufficient Anti-automation:

http://www.md5this.com/crack-it-/index.php

Капча на даній сторінці вразлива до MustLive CAPTCHA bypass method. Її можна обійти використовуючи одні і тіж коректні значення mathguard_code і mathguard_answer (одна пара код-відповідь працює тривалий час).

Дані уразливості досі не виправлені.

This entry was posted on 15:21 23.08.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.