Уразливості на chr.com.ua
15:09 05.02.201121.06.2010
У листопаді, 20.11.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://chr.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Зазначу, що уразливість має місце в локальному пошуковці, що використовує технологію Google. Про уразливості в локальних пошуковцях я вже писав раніше та наводив чимало прикладів сайтів з дірками в пошуку по сайту (в тому числі тих, що використовують локальні пошукові движки), як і чимало писав про дірки в пошукових системах.
Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
05.02.2011
XSS:
Це DOM Based XSS.
Insufficeint Anti-automation:
http://chr.com.ua/register/
http://chr.com.ua/lostpasswd/
На даних сторінках немає захисту від автоматизованих запитів (капчі).
Дані уразливості досі не виправлені.