Уразливості на shalb.com
23:54 02.09.2010У квітні, 19.06.2009 (а також додатково сьогодні), я знайшов Insufficient Anti-automation та Full path disclosure уразливості на сайті http://shalb.com (це українська секюріті компанія). Про що найближчим часом сповіщу адміністрацію сайта.
Insufficient Anti-automation:
http://shalb.com/en/company/orderform/
http://shalb.com/support/open.php (ця сторінка була в 2009 році, зараз вона відсутня)
http://shalb.com/ru/company/orderform/
http://shalb.com/ru/company/contacts/
http://shalb.com/en/company/contacts/
В даних контактних формах немає захисту від автоматизованих запитів (капчі).
Full path disclosure:
На сторінках сайта http://shalb.com виводився повний шлях на сервері.
Якщо Full path disclosure дірки вже виправлені, то Insufficient Anti-automation уразливості все ще є на сайті. Як я вже казав, дані уразливості є типовим явищем для секюріті сайтів.