Websecurity - Веб безпека

04.02.2007

У листопаді, 03.11.2006, я знайшов з Cross-Site Scripting уразливість на http://www.mozilla-team.org.ua - сайті української команди локалізації продуктів Mozilla. Про що найближчим часом сповіщу адміністрацію сайта.

Цей сайт використовує движок WordPress (версїї WP 2.0), так що дана уразливість відноситься до всіх сайтів на цьому движку версії 2.0 (і потенційно всіх попередніх). Версії WordPress 2.0.3 та наступні вже не вразливі до даної уразливості.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.05.2007

XSS:

POST запит на сторінці www.mozilla-team.org.ua/wp-register.php:
"><script>alert(document.cookie)</script>
В полях: Ім’я користувача та E-Mail.

Дана уразливість (в обох полях) досі не виправлена. Детальніше про вказані дірки ви можете прочитати в записі XSS уразливості в WordPress 2.0. Власникам сайта www.mozilla-team.org.ua я радив би оновити движок (в нових версіях WP вже виправлені ці дірки).

This entry was posted on 19:20 06.05.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.