Websecurity - Веб безпека

У травні, 24.05.2010, я знайшов Insufficient Anti-automation, Abuse of Functionality, Information Leakage та Cross-Site Scripting уразливості на проекті http://exwp.com (обмінник веб грошей). Про даний обмінник, адміністрація якого не слідкує за безпекою сайта, я вже писав. Всім користувачам Інтернет варто бути обережними з дірявими обмінниками.

Останній раз стосовно обмінників веб грошей я писав про уразливості на www.vrschange.com.

Insufficient Anti-automation:

http://exwp.com/guestbook/index.html?mailto=EX00;file=guestbook/guest/1274704418_EX00.html;

При заході на сторінку перевіряється реферер. В даній формі немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

При відправці повідомлення в формі відправки на емайл, воно посилається не тільки власнику емайла, що розмістив повідомлення на сайті, але й на вказаний емайл відпраника. Що може використовуватися для розсилки спама на довільні емайли.

Information Leakage:

http://exwp.com/env/

Витік повного шляху на сервері та іншої інформації.

XSS (з використанням методів обходу ModSecurity):

http://exwp.com/env/?%3Cxss%3E

This entry was posted on 23:57 16.12.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.