Websecurity - Веб безпека

15.03.2007

У листопаді, 24.11.2006, я знайшов декілька Cross-Site Scripting уразливостей на відомому проекті http://job.itc.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на itc.ua.

Детальна інформація про уразливості з’явиться пізніше.

13.07.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)

Попередні уразливості вже виправили, але не повністю. Причому пофіксили вони, ще до того як я повідомив їм про уразливості - з подібними ситуаціями мені періодично доводиться зтикатися, коли по логам виявляють мою активність і виправляють дірки “які вони мовляв знайшли”. Тому я повідомив їм як про перші уразливості, так і про наступні (з методом обходу фільтрів). При нелечкій модифікації XSS знову працюють (використовуючи onMouseOver вектор).

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

This entry was posted on 19:41 02.08.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.