Websecurity - Веб безпека

13.10.2010

У червні, 27.06.2010, я знайшов нову Cross-Site Scripting уразливість на сайті http://bigmir.net, обійшови їхній WAF (що я вже робив багато разів). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на dnevnik.bigmir.net.

Детальна інформація про уразливість з’явиться пізніше.

22.06.2011

XSS:

http://passport.bigmir.net/logout?url=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpOzwvc2NyaXB0Pg==

Дана уразливість вже виправлена. І як і в більшості випадків з Бігміром, зробили вони це втихаря (після мого повідомлення), не подякувавши мені. А варто не забувати дякувати людям. При цьому виправлений лише даний вектор атаки, але можливі інші вектори (при цьому потрібно буде обійти їхній WAF).

Зазначу, що в даному функціоналі є також Redirector уразливість, про яку я писав в 2008 році, і яка досі не виправлена.

This entry was posted on 16:02 22.06.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.