Нові уразливості на tid.odessa.ua
15:28 09.04.201114.09.2010
У квітні, 24.04.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://tid.odessa.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливості на tid.odessa.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
09.04.2011
XSS:
- alert(document.cookie)
- alert(document.cookie) (виправлена)
- alert(document.cookie) (виправлена)
- alert(document.cookie) (перероблена версія попередньої XSS, що знову працює)
- цікавий
- html включення
Insufficient Anti-automation:
http://opt.tid.odessa.ua/ws/register.php
Brute Force:
http://tid.odessa.ua/?pid=dclogon
http://opt.tid.odessa.ua/ws/login.php
З даних уразливостей більшість досі не виправлена.