Websecurity - Веб безпека

24.01.2007

У жовтні, 28.10.2006, я знайшов Cross-Site Scripting уразливість на сайті http://www.picosearch.com. Про що найближчим часом сповіщу адміністрацію сайта.

PicoSearch - це сервіс надання пошуку по сайту. І зокрема XSS уразливість на сайті picosearch.com, послугами якого користуєтсья секюріті компанія Cenzic - розробник сканера уразливостей Hailstorm. Тому можна сказати, що незважаючи не те, що уразливість на іншому домені, ця діра відноситья до сайту Cenzic, раз вони використовують движок PicoSearch.

Детальна інформація про уразливість з’явиться пізніше.

15.04.2007

XSS:

http://www.cenzic.com

• alert(document.cookie)

http://www.picosearch.com

• alert(document.cookie)

Дана уразливість вже виправлена. Але не до кінця: при невеличкій модифікації, уразливість знову працює (на цей раз при наведенні курсором - onMouseOver).

XSS:

http://www.cenzic.com

• alert(document.cookie)
• цікавий

http://www.picosearch.com

• alert(document.cookie)
• цікавий

PicoSearch та Cenzic слід краще виправляти уразливості (а також не забувати дякувати людям, котрі повідомляють їм про уразливості).

This entry was posted on 20:49 15.04.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.