Уразливості на depositfiles.com
16:04 02.06.201127.09.2010
У травні, 27.05.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://depositfiles.com (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливість на depositfiles.com.
Детальна інформація про уразливості з’явиться пізніше.
02.06.2011
XSS (вже виправлена):
POST запит на сторінці http://depositfiles.com/ru/gold/forgot.php в полях: Логин, E-mail, Код.
XSS:
Можливі й інші банери на сайті з даними уразливостями.
Insufficient Anti-automation:
http://depositfiles.com/ru/tickets/history.php?ticketId=473687
&ticketEmail=mustlive@websecurity.com.ua
Виправлена лише частина уразливостей (перші три XSS), а частина досі не виправлена. Що не є коректним підходом. А враховуючи, що за повідомлення про уразливості адміни не подякували мені і три XSS вони виправили втихаря, то це також характеризує їх виключно з негативної сторони.