Websecurity - Веб безпека

Учора я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на http://www.w3.org - сайті World Wide Web Consortium (W3C). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.w3.org.

Всього вразливі наступні валідатори W3C:

http://www.w3.org/2003/12/semantic-extractor.html
http://www.w3.org/services/tidy
http://validator.w3.org/mobile/
http://www.w3.org/P3P/validator

Abuse of Functionality:

http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http://google.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http://google.com

http://www.w3.org/services/tidy?docAddr=http://google.com

http://validator.w3.org/mobile/check?docAddr=http://google.com

http://validator.w3.org/p3p/20020128/p3p.pl?uri=http://google.com

http://validator.w3.org/p3p/20020128/policy.pl?uri=http://google.com

Даний функціонал сайта може використовуватися для проведення CSRF атак на інші сайти.

Insufficient Anti-automation:

На даних сторінках відсутній захист від автоматизованих запитів (капча). Що дозволяє автоматизувати проведення CSRF атак на інші сайти.

XSS:

• alert(document.cookie) (IE)
• alert(document.cookie) (IE)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

This entry was posted on 23:51 26.06.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.