Уразливість на www.ljseek.com
18:09 06.02.200723.11.2006
У вересні, 26.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.ljseek.com (пошук по ЖЖ). Причому одна уразливість веде одразу до двох XSS уразливостей: пасивної і активної. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
06.02.2007
XSS:
Дана уразливість вже виправлена. Але лише частково. З невеличкою модифікацією уразливість знову працює (та й в title також вона не була виправлена).
XSS:
Тому дана уразливість ще досі не виправлена.
Окрім того, це не тільки пасивна XSS, а ще й активна (persistent XSS). Бо результати останніх запитів водображуються на сторінці http://www.ljseek.com/last.php, що дозволить провести XSS атаку на всіх відвідувачів цієї сторінки.