Уразливості на www.translate.ru

23:55 22.06.2013

Вчора, 21.06.2013, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation на сайті http://www.translate.ru. Про що найближчим часом сповіщу адміністрацію сайта.

Це онлайн перекладач. Даний сервіс може використовуватися для проведення атак на інші сайти - подібно до перекладачів від Google і Yahoo, про що я писав раніше. Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

XSS (Remote XSS/HTML Include):

Abuse of Functionality:

http://www.translate.ru/url/translation.aspx?direction=er&sourceURL=http://google.com

Можна проводити атаки на інші сайти. А також проводити DoS атаки на сервер самого сайта, що описано у моїй статті.

Insufficient Anti-automation:

У даному функціоналі немає захисту від автоматизованих запитів (капчі).


Leave a Reply

You must be logged in to post a comment.