Уразливості на bezpeka.kr.ua
15:20 28.03.201107.09.2010
У квітні, 18.04.2010, я знайшов Insufficient Anti-automation, Cross-Site Scripting, Denial of Service та Full path disclosure уразливості на сайті http://bezpeka.kr.ua (це онлайн магазин, що продає секюріті товари). Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на citycom.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
28.03.2011
Insufficient Anti-automation:
http://bezpeka.kr.ua/users/register.html
На даній сторінці використовується уразлива капча. Приклад атаки показаний в експлоіті для PHPShop:
http://bezpeka.kr.ua/users/sendpassword.html
На даній сторінці немає захисту від автоматизованих запитів (капчі).
XSS:
POST запит на сторінці http://bezpeka.kr.ua/users/register.html з обходом капчі. Приклад атаки показаний в експлоіті для PHPShop:
DoS:
http://bezpeka.kr.ua/search/?words=.&p=all&cat=0
Full path disclosure:
http://bezpeka.kr.ua/page/’
Дані уразливості, окрім FPD, досі не виправлені.