Уразливості на stopthehacker.com
17:25 27.07.201208.03.2012
У лютому, 28.02.2012, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://stopthehacker.com. Це секюріті сервіс що є конкурентом моій Web VDS. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
27.07.2012
AoF:
http://panel.stopthehacker.com/services/validate-payflow?target=http://site&email=1@1.com&callback=a
Можна проводити атаки на інші сайти. Про що я писав в своїй статті Використання сайтів для атак на інші сайти.
IAA:
Із-за відсутності захисту від автоматизованих запитів (капчі) в даному функціоналі, атаки на інші сайти можна автоматизувати. Наприклад, з використанням DAVOSET.
XSS:
http://panel.stopthehacker.com/services/validate-payflow?target=%3Cbody%20onload=alert(document.cookie)%3E&email=1@1.com&callback=a
Якщо XSS дірка вже виправлена, то Abuse of Functionality та Insufficient Anti-automation уразливості досі не виправлені.