Уразливість на www.picosearch.com
20:49 15.04.200724.01.2007
У жовтні, 28.10.2006, я знайшов Cross-Site Scripting уразливість на сайті http://www.picosearch.com. Про що найближчим часом сповіщу адміністрацію сайта.
PicoSearch - це сервіс надання пошуку по сайту. І зокрема XSS уразливість на сайті picosearch.com, послугами якого користуєтсья секюріті компанія Cenzic - розробник сканера уразливостей Hailstorm. Тому можна сказати, що незважаючи не те, що уразливість на іншому домені, ця діра відноситья до сайту Cenzic, раз вони використовують движок PicoSearch.
Детальна інформація про уразливість з’явиться пізніше.
15.04.2007
XSS:
http://www.cenzic.com
http://www.picosearch.com
Дана уразливість вже виправлена. Але не до кінця: при невеличкій модифікації, уразливість знову працює (на цей раз при наведенні курсором - onMouseOver).
XSS:
http://www.cenzic.com
http://www.picosearch.com
PicoSearch та Cenzic слід краще виправляти уразливості (а також не забувати дякувати людям, котрі повідомляють їм про уразливості).