Websecurity - Веб безпека

14.09.2010

У квітні, 24.04.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://tid.odessa.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на tid.odessa.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.04.2011

XSS:

• alert(document.cookie)
• alert(document.cookie) (виправлена)
• alert(document.cookie) (виправлена)
• alert(document.cookie) (перероблена версія попередньої XSS, що знову працює)
• цікавий
• html включення

Insufficient Anti-automation:

http://opt.tid.odessa.ua/ws/register.php

Brute Force:

http://tid.odessa.ua/?pid=dclogon

http://opt.tid.odessa.ua/ws/login.php

З даних уразливостей більшість досі не виправлена.

This entry was posted on 15:28 09.04.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.