Уразливість на www.ljseek.com

18:09 06.02.2007

23.11.2006

У вересні, 26.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.ljseek.com (пошук по ЖЖ). Причому одна уразливість веде одразу до двох XSS уразливостей: пасивної і активної. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.02.2007

XSS:

Дана уразливість вже виправлена. Але лише частково. З невеличкою модифікацією уразливість знову працює (та й в title також вона не була виправлена).

XSS:

Тому дана уразливість ще досі не виправлена.

Окрім того, це не тільки пасивна XSS, а ще й активна (persistent XSS). Бо результати останніх запитів водображуються на сторінці http://www.ljseek.com/last.php, що дозволить провести XSS атаку на всіх відвідувачів цієї сторінки.


Leave a Reply

You must be logged in to post a comment.