Уразливості на mycityua.com
15:28 31.08.201029.12.2009
У травні, 05.05.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection уразливості на проекті http://mycityua.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про уразливості на www.pk.kiev.ua (це попередній домен даного сайта).
Детальна інформація про уразливості з’явиться пізніше.
31.08.2010
XSS:
POST запит на сторінці http://mycityua.com/search/
"><script>alert(document.cookie)</script>
В полях: Текст для поиска, Автор.
SQL DB Structure Extraction:
POST запит ‘” на сторінці http://mycityua.com/search/ в полі “Текст для поиска”.
SQL Injection:
POST запит на сторінці http://mycityua.com/search/ в параметрі categories.
Дані уразливості досі не виправлені.