Нові уразливості на www.w3.org

23:51 26.06.2010

Учора я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на http://www.w3.org - сайті World Wide Web Consortium (W3C). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.w3.org.

Всього вразливі наступні валідатори W3C:

http://www.w3.org/2003/12/semantic-extractor.html
http://www.w3.org/services/tidy
http://validator.w3.org/mobile/
http://www.w3.org/P3P/validator

Abuse of Functionality:

http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http://google.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http://google.com

http://www.w3.org/services/tidy?docAddr=http://google.com

http://validator.w3.org/mobile/check?docAddr=http://google.com

http://validator.w3.org/p3p/20020128/p3p.pl?uri=http://google.com

http://validator.w3.org/p3p/20020128/policy.pl?uri=http://google.com

Даний функціонал сайта може використовуватися для проведення CSRF атак на інші сайти.

Insufficient Anti-automation:

На даних сторінках відсутній захист від автоматизованих запитів (капча). Що дозволяє автоматизувати проведення CSRF атак на інші сайти.

XSS:


Leave a Reply

You must be logged in to post a comment.