Websecurity - Веб безпека

08.03.2012

У лютому, 28.02.2012, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://stopthehacker.com. Це секюріті сервіс що є конкурентом моій Web VDS. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.07.2012

AoF:

http://panel.stopthehacker.com/services/validate-payflow?target=http://site&email=1@1.com&callback=a

Можна проводити атаки на інші сайти. Про що я писав в своїй статті Використання сайтів для атак на інші сайти.

IAA:

Із-за відсутності захисту від автоматизованих запитів (капчі) в даному функціоналі, атаки на інші сайти можна автоматизувати. Наприклад, з використанням DAVOSET.

XSS:

http://panel.stopthehacker.com/services/validate-payflow?target=%3Cbody%20onload=alert(document.cookie)%3E&email=1@1.com&callback=a

Якщо XSS дірка вже виправлена, то Abuse of Functionality та Insufficient Anti-automation уразливості досі не виправлені.

This entry was posted on 17:25 27.07.2012 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.