Websecurity - Веб безпека

05.01.2010

У травні, 06.05.2009, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості на сайті http://www.allo.ua (онлайн магазин). Серед XSS є також persistent XSS, які можуть використовуватися для інфікування сайта вірусами. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.officepro.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.10.2010

Insufficient Anti-automation:

http://www.allo.ua/register.php

http://www.allo.ua/forget.php

В формах немає захисту від автоматизованих запитів (капчі).

XSS:

Це single-user persistent XSS (коли користувач залогінений на сайті).

POST запит до сторінки профайла http://www.allo.ua/account.php. Код спрацює на сторінці профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) та на кожній зовнішній сторінці сайта (поле Имя).

XSS (persistent):

Через поле Имя в профайлі можна провести атаку на сторінках продуктів:

http://www.allo.ua/products/comments/product/
http://www.allo.ua/products/details/product/

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

SQL Injection:

http://www.allo.ua/index.php?page=search&start_do_search=yes&search_text=1&pcat_id=-1%20or%20version()=5

Дані уразливості переважно досі не виправлені. Лише виправили persistent XSS через поле Имя.

This entry was posted on 15:06 26.10.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.