Websecurity - Веб безпека

25.11.2010

У травні, 24.05.2010, я знайшов Insufficient Anti-automation, Abuse of Functionality, Information Leakage та Cross-Site Scripting уразливості в Firebook. Це гостьова книга. Дані уразливості я виявив на офіційному сайті firebook.ru. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Firebook.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

03.02.2011

Insufficient Anti-automation:

http://site/index.html?mailto=MG1112008878;file=path/to/guestbook/message.html;

На сторінці відправки повідомлення на емайл немає захисту від автоматизованих запитів (капчі). При заході на сторінку перевіряється реферер.

Abuse of Functionality:

При відправці повідомлення в формі відправки на емайл, воно посилається не тільки власнику емайла, що розмістив повідомлення на сайті, але й на вказаний емайл відправника. Що може використовуватися для розсилки спама на довільні емайли.

Information Leakage:

http://site/env/index.html

Витік повного шляху на сервері та іншої інформації.

XSS:

http://site/env/index.html?%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Firebook 3.100328 та попередні версії.

This entry was posted on 15:11 03.02.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.