Уразливість на passport.meta.ua
23:53 02.12.2011Ще у лиспопаді, 01.11.2006, я знайшов Cross-Site Scripting уразливість на сайті http://passport.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.
Останнього разу стосовно проектів компанії Мета я писав про уразливості на tv.meta.ua.
XSS:
Дану уразливість вони вже виправили, одразу після моїх численних повідомлень про дірки на їхніх сайтах, як я вияснив ще в 2007 році (коли дійшов час до її оприлюднення). Але виправили вони неякісно, тому уразливість знову працює, при невеликій зміні коду.
XSS (з MouseOverJacking):
Дана уразливість так досі й висить на сайті, як це було до того, як я знайшов її у листопаді 2006 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.
Враховуючи, що уразливість на домені passport.meta.ua, де користувачі логіняться в свої акаунти, то її також можна використати для викрадання логінів та паролів користувачів даного портала. Що можна зробити як шляхом фішинга (включаючи on-site фішинг), так і шляхом XSS атаки на менеджери паролів в браузерах.
