Уразливості на norma.kiev.ua
23:55 19.11.201129.09.2011
У вересні, 15.09.2011, я знайшов Cross-Site Scripting, Full path disclosure та Brute Force уразливості на сайті http://norma.kiev.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливість на citycom.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
19.11.2011
XSS:
Дана уразливість вже виправлена. Але неякісно і захист легко обходиться:
XSS (з MouseOverJacking):
Full path disclosure:
http://norma.kiev.ua/inc/subscribe.php
Brute Force:
http://norma.kiev.ua/adm/
Якщо FPD вже виправлена, то XSS і BF все ще не виправлені.