Уразливості на www.online-translator.com
17:21 22.06.2013Вчора, 21.06.2013, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation на сайті http://www.online-translator.com. Про що найближчим часом сповіщу адміністрацію сайта.
Це онлайн перекладач. Даний сервіс може використовуватися для проведення атак на інші сайти - подібно до перекладачів від Google і Yahoo, про що я писав раніше. Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.
XSS (Remote XSS/HTML Include):
Abuse of Functionality:
http://www.online-translator.com/url/translation.aspx?direction=er&sourceURL=http://google.com
Можна проводити атаки на інші сайти. А також проводити DoS атаки на сервер самого сайта, що описано у моїй статті.
Insufficient Anti-automation:
У даному функціоналі немає захисту від автоматизованих запитів (капчі).