Уразливості на blog.meta.ua та market.auto.meta.ua
23:57 18.04.2012Ще 30.08.2007 я знайшов Full path disclosure уразливості, а сьогодні ще нові Full path disclosure та Cross-Site Scripting уразливості, на сайтах blog.meta.ua та market.auto.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.
Останнього разу стосовно проектів компанії Мета я писав про уразливості на map.meta.ua.
Full path disclosure:
30.08.2007 мною були знайдені численні FPD на різних сайтах Мети, зокрема на blog.meta.ua. При цьому самі FPD на цих сайтах адміни Мети вже прибрали, але в кеші Гугла вони добре збереглися (зараз ясна річ тих FPD в кеші вже немає, зате є нові).
http://blog.meta.ua/ajax/fastenPost.php
/mnt/di1/apache/htdocs/weblog/ajax/fastenPost.php
А також на сторінці http://blog.meta.ua/ajax/addposttoc.php та багатьох інших сторінках сайта blog.meta.ua. А сьогодні я знайшов чергові FPD дірки, цього разу на market.auto.meta.ua. І знову на сайті вони вже прибрані, але в кеші Гугла (в коді сторінки) від 01.04.2012 вони все ще є.
Уразливості мають місце на сторінці http://market.auto.meta.ua/ua/
igrovi-prystavky/7611665-0/sony-playstation-2-black/ та інших сторінках сайта market.auto.meta.ua.
XSS (для Mozilla та Firefox):
Уразливості на сайтах Мети, зокрема такі як витоки інформації, навіть якщо адміни з часом їх приховають, все рівно стають доступними для всіх бажаючих у кешах пошуковців. А дана XSS досі висіть на сайті на протязі всього часу роботи цього сайта. І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.