Websecurity - Веб безпека

10.08.2010

У березні, 06.03.2010, я знайшов Cross-Site Scripting та Cross-Site Request Forgery уразливості на проекті http://tinyurl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на tinyurl.com.

Детальна інформація про уразливості з’явиться пізніше.

26.02.2011

XSS:

http://tinyurl.com/warning.php?url=javascript:alert(document.cookie)

CSRF:

При доступі до http://tinyurl.com/preview.php?disable=1 не перевіряється джерело запиту, що можна використати для відключення функції превью.

Атака може бути проведена, наприклад, через зображення:

<img src=”http://tinyurl.com/preview.php?disable=1″>

Це може застосовуватися для проведення атак редирекції.

Якщо XSS уразливість вже виправлена, то CSRF досі не виправлена.

This entry was posted on 14:07 26.02.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.