Websecurity - Веб безпека

14.04.2010

У жовтні, 05.10.2009, я знайшов Cross-Site Scripting уразливості (persistent та reflected) на проекті http://fileshare.in.ua (файлообмінник та хостінг файлів). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на fileshare.in.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.12.2010

XSS:

Це persistent XSS. При написанні відповіді на сторінці тікета (http://fileshare.in.ua/mailhistory.aspx?tid=70de0308f9ef11a5) або написанні повідомлення на сторінці http://fileshare.in.ua/mail.aspx, в тікеті спрацьовує XSS код (в полі Сообщение). Атака можлива доки тікет відкритий.

XSS:

• alert(document.cookie)
• цікавий

Це приклад атаки для Mozilla та Firefox до 3.0. Для інших браузерів використовується відповідний атакуюший код.

Дані уразливості досі не виправлені.

This entry was posted on 15:09 04.12.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.