Websecurity - Веб безпека

16.01.2010

У травні, 17.05.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості на проекті http://infoscop.net (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

14.09.2010

XSS:

• alert(document.cookie)
• alert(document.cookie)

А також з будь-якими іншими параметрами окрім “pg” (”a” і т.д.) в скриптах index.php та f_mn.php.

Дані уразливості виправлені, але неякісно, тому при невеликій зміні коду, вони знову працюють.

XSS (з MouseOverJacking):

• alert(document.cookie)
• alert(document.cookie)
• цікавий

А також з будь-якими іншими параметрами окрім “pg” (”a” і т.д.) в скриптах index.php та f_mn.php.

Full path disclosure:

http://infoscop.net/index.php?pg=index.php
http://infoscop.net/f_mn.php?pg=f_mn.php
http://infoscop.net/f_inc/f_var_ses.php
http://infoscop.net/f_inc/f_cadm.php
http://infoscop.net/f_inc/f_frm_i.php
http://infoscop.net/f_inc/f_rld.php
http://infoscop.net/f_inc/f_var_db.php

Дані уразливості досі не виправлені.

This entry was posted on 15:22 14.09.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.