Уразливості на blog.meta.ua та market.auto.meta.ua

23:57 18.04.2012

Ще 30.08.2007 я знайшов Full path disclosure уразливості, а сьогодні ще нові Full path disclosure та Cross-Site Scripting уразливості, на сайтах blog.meta.ua та market.auto.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на map.meta.ua.

Full path disclosure:

30.08.2007 мною були знайдені численні FPD на різних сайтах Мети, зокрема на blog.meta.ua. При цьому самі FPD на цих сайтах адміни Мети вже прибрали, але в кеші Гугла вони добре збереглися (зараз ясна річ тих FPD в кеші вже немає, зате є нові).

http://blog.meta.ua/ajax/fastenPost.php

/mnt/di1/apache/htdocs/weblog/ajax/fastenPost.php

А також на сторінці http://blog.meta.ua/ajax/addposttoc.php та багатьох інших сторінках сайта blog.meta.ua. А сьогодні я знайшов чергові FPD дірки, цього разу на market.auto.meta.ua. І знову на сайті вони вже прибрані, але в кеші Гугла (в коді сторінки) від 01.04.2012 вони все ще є.

Уразливості мають місце на сторінці http://market.auto.meta.ua/ua/
igrovi-prystavky/7611665-0/sony-playstation-2-black/ та інших сторінках сайта market.auto.meta.ua.

XSS (для Mozilla та Firefox):

Уразливості на сайтах Мети, зокрема такі як витоки інформації, навіть якщо адміни з часом їх приховають, все рівно стають доступними для всіх бажаючих у кешах пошуковців. А дана XSS досі висіть на сайті на протязі всього часу роботи цього сайта. І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.


Leave a Reply

You must be logged in to post a comment.