Websecurity - Веб безпека

21.06.2010

У листопаді, 20.11.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://chr.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Зазначу, що уразливість має місце в локальному пошуковці, що використовує технологію Google. Про уразливості в локальних пошуковцях я вже писав раніше та наводив чимало прикладів сайтів з дірками в пошуку по сайту (в тому числі тих, що використовують локальні пошукові движки), як і чимало писав про дірки в пошукових системах.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.02.2011

XSS:

• alert(document.cookie)
• цікавий

Це DOM Based XSS.

Insufficeint Anti-automation:

http://chr.com.ua/register/
http://chr.com.ua/lostpasswd/

На даних сторінках немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені.

This entry was posted on 15:09 05.02.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.