Websecurity - Веб безпека

19.02.2010

У липні, 12.07.2009, я знайшов Cross-Site Scripting (persistent) уразливості на проекті http://tadalist.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.11.2010

XSS:

При доданні ToDo запису в свій список (http://mustlive.tadalist.com/lists/) в полях Title, Items та Description можна було провести persistent XSS атаку.

Дані уразливості вже виправлені, але не всі. Атаку все ще можна провести через поле Title.

XSS:

• alert(document.cookie) (спрацює для усіх відвідувачів сайта)
• alert(document.cookie) (спрацює для залогіненого користувача - власника даного акаунта)
• Link Injection

This entry was posted on 19:14 08.11.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.