Websecurity - Веб безпека

26.01.2016

В листопаді, 30.11.2015, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості на screenshot.com.ua. Про що найближчим часом повідомлю розробникам системи.

Про Abuse of Functionality дірку на цьому сайті для проведення DoS атак я вже згадав в останньому випуску моєї програми DAVOSET, де screenshot.com.ua приведений у списку сайтів-зомбі.

Детальна інформація про уразливості з’явиться пізніше.

24.11.2016

XSS:

http://screenshot.com.ua/makeit.cgi?url=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Abuse of Functionality:

POST запит до http://screenshot.com.ua/makeit.cgi.

Дана дірка може використовуватися для DoS атак (як на сам сайт, так і на інші сайти).

Також на сайті є Redirector та інші уразливості. Власник сайта відмовився виправляти окрім XSS, тому вони досі не виправлені.

This entry was posted on 23:59 24.11.2016 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.