Уразливості на www.cynthiasays.com
23:51 01.12.2010У серпні, 09.08.2010, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.cynthiasays.com. Про що найближчим часом сповіщу адміністрацію сайта.
Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.
Abuse of Functionality:
http://www.cynthiasays.com/mynewtester/cynthia.exe?rptmode=-1&url1=http://www.google.com
Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сайт.
Insufficient Anti-automation:
В даному функціоналі немає захисту від автоматизованих запитів (капчі). Є лише обмеження на один запит до одного і того ж домену в одну хвилину, але дане обмеження обходиться з використанням домена з www і без.
XSS: