Websecurity - Веб безпека

У серпні, 09.08.2010, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.cynthiasays.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://www.cynthiasays.com/mynewtester/cynthia.exe?rptmode=-1&url1=http://www.google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сайт.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Є лише обмеження на один запит до одного і того ж домену в одну хвилину, але дане обмеження обходиться з використанням домена з www і без.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

This entry was posted on 23:51 01.12.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.