Нові уразливості на rozetka.com.ua

18:02 16.09.2010

06.01.2010

У травні, 06.05.2009, я знайшов нові уразливості на сайті http://rozetka.com.ua, зокрема Full path disclosure та Cross-Site Scripting (в тому числі persistent XSS). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.allo.ua. Також раніше я вже писав про уразливості на www.rozetka.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.09.2010

Full path disclosure:

http://rozetka.com.ua/index.php?page=search&search_text=%3C%3E

XSS:

http://rozetka.com.ua/index.php?page=search&search_text=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://rozetka.com.ua/search/?text=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (single-user persistent XSS):

На сторінках товарів (http://rozetka.com.ua/ru/products/comments/ 6074/index.html) в полях Имя і e-mail, які також зберігаються в кукісі.

XSS (single-user persisted XSS, коли користувач залогінений на сайті):

На сторінці http://rozetka.com.ua/account.php (поля Имя и Фамилия, Email, Адрес строка 1, Адрес строка 2, Город/Поселок, Регион/Область/Район, Почтовый индекс, Ваш телефон) та на кожній зовнішній сторінці сайта (поле Имя).

Дані уразливості вже виправлені шляхом зміни движка.


2 відповідей на “Нові уразливості на rozetka.com.ua”

  1. РУДИМЕНТ каже:

    Интересно они вообще реагируют на предупреждения, а то чаще всего вообще никто не отвечает и ничего никто не исправляет)
    Я думаю если бы доходило до руководства подобные предупреждения, то реакция была бы ) а так админы если и получат письмо, то проигнорируют по разным причинам )

  2. MustLive каже:

    Представители Розетки вообще не ответили мне ни разу и ни разу ничего не исправили. А весной этого года я выяснил, что у них на сайте сменился движок. Тоже дырявый (только меньше, чем предыдущий) - что называется “сменили шило на мыло” :-) .

    При этом нельзя исключать, что они сменили движок под давлением моих многочисленных уведомлений о дырах на их сайте :-D . С подобными случаями смены движка после моих уведомлений я сталкивался не раз.

    Я думаю если бы доходило до руководства подобные предупреждения, то реакция была бы )

    Согласен, что админы любят игнорировать письма с уведомлениями о безопасности (и даже публично оставленные на самом сайте уведомления о дырах на сайте) - по разным причинам ;-) , хотя не все админы и мне всё же попадается часть серьёзных людей.

    Но вот касательно руководства замечу, что конечно могут быть серьёзные руководители, которые и проследят, чтобы указанные дыры были исправлены и даже вложат деньги в безопасность сайта, но это в меньшестве случаев. В большинстве же случаев руководители также забивают на безопасность (отчасти или вовсе). Я это хорошо знаю из общения с руководителями и топ менеджерами крупных украинских порталов и ряда е-комерс сайтов.

Leave a Reply

You must be logged in to post a comment.