Уразливість на www.picosearch.com

20:49 15.04.2007

24.01.2007

У жовтні, 28.10.2006, я знайшов Cross-Site Scripting уразливість на сайті http://www.picosearch.com. Про що найближчим часом сповіщу адміністрацію сайта.

PicoSearch - це сервіс надання пошуку по сайту. І зокрема XSS уразливість на сайті picosearch.com, послугами якого користуєтсья секюріті компанія Cenzic - розробник сканера уразливостей Hailstorm. Тому можна сказати, що незважаючи не те, що уразливість на іншому домені, ця діра відноситья до сайту Cenzic, раз вони використовують движок PicoSearch.

Детальна інформація про уразливість з’явиться пізніше.

15.04.2007

XSS:

http://www.cenzic.com

http://www.picosearch.com

Дана уразливість вже виправлена. Але не до кінця: при невеличкій модифікації, уразливість знову працює (на цей раз при наведенні курсором - onMouseOver).

XSS:

http://www.cenzic.com

http://www.picosearch.com

PicoSearch та Cenzic слід краще виправляти уразливості (а також не забувати дякувати людям, котрі повідомляють їм про уразливості).


Leave a Reply

You must be logged in to post a comment.