Уразливості на bezpeka.kr.ua

15:20 28.03.2011

07.09.2010

У квітні, 18.04.2010, я знайшов Insufficient Anti-automation, Cross-Site Scripting, Denial of Service та Full path disclosure уразливості на сайті http://bezpeka.kr.ua (це онлайн магазин, що продає секюріті товари). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на citycom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.03.2011

Insufficient Anti-automation:

http://bezpeka.kr.ua/users/register.html

На даній сторінці використовується уразлива капча. Приклад атаки показаний в експлоіті для PHPShop:

PHPShop CAPTCHA bypass.html

http://bezpeka.kr.ua/users/sendpassword.html

На даній сторінці немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці http://bezpeka.kr.ua/users/register.html з обходом капчі. Приклад атаки показаний в експлоіті для PHPShop:

PHPShop XSS.html

DoS:

http://bezpeka.kr.ua/search/?words=.&p=all&cat=0

Full path disclosure:

http://bezpeka.kr.ua/page/’

Дані уразливості, окрім FPD, досі не виправлені.


Leave a Reply

You must be logged in to post a comment.