Websecurity - Веб безпека

27.02.2007

Декілька днів тому, 21.02.2007, я знайшов Cross-Site Scripting уразливість на http://idc-cema.com - сайті відомої компанії IDC. Про що найближчим часом сповіщу адміністрацію сайту.

В середині місяця, один з активних користувачів мого веб проекту, повідомив мені, що в Києві відбудеться конференція IDC IT Security Roadshow 2007 Інформаційна безпека бізнесу: люди та технології. Конференція як раз на тему секюріті, от мені воно повинно бути цікавим, міг би й сходити. Ця новина мене зацікавила. Хоча й останнім часом я на виставки та конференції рідко хожу. Останній раз взагалі був на ІТ виставці аж в 2004 (одразу на трьох виставках: Цифроманія 2004, KYIV HI-FI Show 2004 та Kyiv DigiPhoto Show 2004), хоча й раніше я подібні виставки регулярно відвідував.

Так от, зайшов я на сайт. І виявилося, що вже всі запрошення роздані (до 20.02), тому не встиг я (так і буде). Та раз вже я зайшов на сайт, то і звернув увагу на його безпеку - конференція все ж таки на секюріті тематику. І як я й очікував, сайт виявився вразливим (до XSS). Тому я б радив IDC перед тим як проводити конференції на тему безпеки, спочатку зайнятися безпекою власного сайта.

Детальна інформація про уразливість з’явиться пізніше.

16.01.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

This entry was posted on 20:03 16.01.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.