Нові уразливості на сайті Укртелекома
17:08 15.12.201124.08.2010
У березні, 06.03.2010, я знайшов Information Leakage, Cross-Site Scripting та Brute Force уразливості на сайті Укртелекома. В даному випадку це сайт Служби 109 Укртелекома. Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про уразливість на www.kyiv.ukrtelecom.ua (де мав витік інформації в Службі 109).
Детальна інформація про уразливості з’явиться пізніше.
15.12.2011
Information Leakage:
http://213.179.244.14:8080/status
http://213.179.244.14:8080/status?full=true
XSS:
Brute Force:
http://213.179.244.14:8080/jmx-console/
http://213.179.244.14:8080/web-console/
http://213.179.244.14:8080/jbossws/ (пароль не встановлено)
Якщо Information Leakage вже виправлені, то XSS та BF уразливості так досі й не виправлені. При цьому на сайті є ще багато інших уразливостей.