Нові уразливості на scb-ua.com
22:44 05.10.201108.01.2011
У жовтні, 15.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на http://scb-ua.com - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливості на www.scb-ua.com.
Детальна інформація про уразливості з’явиться пізніше.
05.10.2011
Insufficient Anti-automation:
На сторінці контактів (http://scb-ua.com/_kontakty_i_karta_proezda_0_11_menu_0_1.html) немає захисту від автоматизованих запитів (капчі).
XSS:
POST запит на сторінці http://scb-ua.com/_kontakty_i_karta_proezda_0_11_menu_0_1.html
<script>alert(document.cookie)</script>
В полях: ФИО, E-mail, Телефон, Тема письма, Текст.
Зараз даний сайт, який належить секюріті фірмі, не працює (мабуть вони вірішили, що найбільш безпечно взагалі не мати сайта). А на домені scb-ua.com знаходиться зовсім інший сайт, в якому дірок також вистачає .
Четвер, 09:39 06.10.2011
Браво сек’юріті компанія! Немає сайта - немає й уразливостей!
Четвер, 14:11 06.10.2011
Так, вони гумористи . Пішли по найбільш простому шляху - прибрали сайт. Але це я вперше стикаюся з ситуацією, коли сайт закривають і одразу ж на його місці з’являється новий сайт (на цьому ж домені), причому не “псевдо-сайт” PPC-шників, а повноцінний сайт.