Websecurity - Веб безпека

03.03.2007

У листопаді, 21.11.2006, я знайшов нову Cross-Site Scripting уразливість на популярному проекті http://www.habrahabr.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Я вже писав про уразливість на www.habrahabr.ru, яку вони не виправили спочатку, після мого попередження. З часом вони врешті решт її виправили - переробили пошук по сайту і врахували даний аспект (XSS), тому в результатах пошуку XSS вже немає. Навіть окремий розділ є на сайті - Cross Site Scripting . Але виправили вони не до кінця. Тому їх чекає нова уразливість.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.07.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

This entry was posted on 20:34 19.07.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.