Уразливості на www.allo.ua
15:06 26.10.201005.01.2010
У травні, 06.05.2009, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості на сайті http://www.allo.ua (онлайн магазин). Серед XSS є також persistent XSS, які можуть використовуватися для інфікування сайта вірусами. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.officepro.com.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
26.10.2010
Insufficient Anti-automation:
http://www.allo.ua/register.php
http://www.allo.ua/forget.php
В формах немає захисту від автоматизованих запитів (капчі).
XSS:
Це single-user persistent XSS (коли користувач залогінений на сайті).
POST запит до сторінки профайла http://www.allo.ua/account.php. Код спрацює на сторінці профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) та на кожній зовнішній сторінці сайта (поле Имя).
XSS (persistent):
Через поле Имя в профайлі можна провести атаку на сторінках продуктів:
http://www.allo.ua/products/comments/product/
http://www.allo.ua/products/details/product/
XSS:
SQL Injection:
http://www.allo.ua/index.php?page=search&start_do_search=yes&search_text=1&pcat_id=-1%20or%20version()=5
Дані уразливості переважно досі не виправлені. Лише виправили persistent XSS через поле Имя.