Уразливості на depositfiles.com

16:04 02.06.2011

27.09.2010

У травні, 27.05.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://depositfiles.com (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на depositfiles.com.

Детальна інформація про уразливості з’явиться пізніше.

02.06.2011

XSS (вже виправлена):

POST запит на сторінці http://depositfiles.com/ru/gold/forgot.php в полях: Логин, E-mail, Код.

XSS:

Можливі й інші банери на сайті з даними уразливостями.

Insufficient Anti-automation:

http://depositfiles.com/ru/tickets/history.php?ticketId=473687
&ticketEmail=mustlive@websecurity.com.ua

Виправлена лише частина уразливостей (перші три XSS), а частина досі не виправлена. Що не є коректним підходом. А враховуючи, що за повідомлення про уразливості адміни не подякували мені і три XSS вони виправили втихаря, то це також характеризує їх виключно з негативної сторони.


Leave a Reply

You must be logged in to post a comment.