Уразливості на tools.pingdom.com

23:51 09.03.2012

У лютому, 23.02.2012, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://tools.pingdom.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://tools.pingdom.com/fpt/#!/http://google.com

http://tools.pingdom.com/ping/?target=http://google.com&o=2

Дані функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до першого функціоналу призведе до багатьох запитів до цільового сайта (тому що завантажується сторінка веб сайта і всі ресурси з цієї сторінки), а до другого функціоналу - до п’яти запитів до цільового сервера.

Insufficient Anti-automation:

В даних функціоналах немає захисту від автоматизованих запитів (капчі).


Leave a Reply

You must be logged in to post a comment.