Уразливості на freetranslation.com

23:57 20.06.2013

У червні, 19.06.2013, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation на сайті http://freetranslation.com (зокрема на піддомені fets3.freetranslation.com). Про що найближчим часом сповіщу адміністрацію сайта.

Це онлайн перекладач. Даний сервіс може використовуватися для проведення атак на інші сайти - подібно до перекладачів від Google і Yahoo, про що я писав раніше. Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

XSS (Remote XSS/HTML Include):

Abuse of Functionality:

http://fets3.freetranslation.com/?Url=http://google.com&Language=English%2FSpanish&Sequence=core

Можна проводити атаки на інші сайти. А також проводити DoS атаки на сервер самого сайта, що описано у моїй статті.

Insufficient Anti-automation:

У даному функціоналі немає захисту від автоматизованих запитів (капчі).


Leave a Reply

You must be logged in to post a comment.