Websecurity - Веб безпека

30.07.2006

Попередня уразливість на Рамблері нещодавно була нарешті виправлена, тому настав час повідомити про нові уразливості . Це окрім уразливості на Лєнтє, яку ще не виправили і про яку я повідомлю деталі найближчим часом.

Одразу ж за попередньою уразливістю на пошуковці Рамблер, я знайшов нову уразливість - XSS на Rambler-Гороскопи. Про що найближчим часом поводомлю адміністрації Рамблера, раз вони вже виправили попередній секюріті-баг. І пізніше повідомлю на сайті деталі останної Cross-Site Scripting уразливості на Рамблері.

03.10.2006

Публікація деталей останньої уразливості на Рамблері (одразу декількох XSS на Rambler-Гороскопи) затянулося. Довгий час я чекав пока рамблеровці пофіксять всі попередні уразливості, про які їм повідомив, як на Рамблері, так і на Лєнтє (XSS на Лєнтє, Уразливості на lenta.ru). Так на Рамблері уразливості вони пофіксили, а от на Лєнтє до сих пір і не взялися (вже їм про нові урізливості повідомив на Лєнтє). Дуже затянувся цей процес, тому після повідомлення деталей адмінам (пепередньо повідомив ще в липні), публікую деталі уразливостей.

Одразу 3 уразливості (в трьох параметрах скрипта).

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Уразливості досі не виправлені.

This entry was posted on 16:55 03.10.2006 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.