Уразливості на act.yapc.eu
23:52 31.08.201309.07.2013
Сьогодні я знайшов Insufficient Authorization та інші уразливості на сайті http://act.yapc.eu. Про що найближчим часом сповіщу адміністрацію сайта.
Мене зацікавила конференція “Future Perl”, що буде проводитися у Києві у серпні. Й відвідавши сайт в черговий раз, що одразу видався мені дірявим, я швидко знайшов уразливості. Що дуже типово для сайтів конференцій - раніше я вже писав про багато дірявих сайтів конференцій (в тому числі на тему безпеки).
Детальна інформація про уразливості з’явиться пізніше.
31.08.2013
Insufficient Authorization (WASC-02):
http://act.yapc.eu/ye2013/edittalk?talk_id=1
Будь-який аутентифікований користувач може редагувати довільні доповіді (вказавши id). А також видаляти їх (через функцію редагування).
Дана уразливість вже виправлена.