Уразливість на codeide.com
19:17 16.09.200724.12.2006
CodeIDE - це цікавий проект. Це веб система розробки програм на різних мовах (прямо в браузері). На даний момент підтримуються наступні мови: Basic, Pascal, C++, Perl, Java Script, HTML, Lisp та Math. Та ще планують додати підтримку інших мов програмування.
Проект codeide.com - по суті це онлайновий інтерпретатор. Даний проект схожий на мій MustLive Perl Pascal Programs Interpreter (але з упором на IDE), про вихід версії Perl Pas Interpreter v.1.2.8 я писав нещодавно.
Так от, учора на сайті проекту codeide.com я знайшов Cross-Site Scripting уразливість. Про що найближчим часом сповіщу адміністрацію проекту. Про ще одну уразливість - XSS, яка дозволяла редирекцію, я ще вчора повідомив головному розробнику системи (дана уразливість є прикладом Cross-Language Scripting).
Детальна інформація про уразливість з’явиться пізніше.
16.09.2007
XSS:
- alert(document.cookie)
- alert(document.cookie) (на http://basic.siteheart.com)
- цікавий
- html включення
Дана уразливість досі не виправлена (на обох доменах codeide.com та basic.siteheart.com).