Websecurity - Веб безпека

14.04.2007

Нещодавно, 11.04.2007, я знайшов нову Cross-Site Scripting уразливість на популярному порталі http://myspace.com. Про що найближчим часом сповіщу адміністрацію порталу.

Також в той же день я вислав деталі про цю уразливість організаторам проекту Місяць багів в MySpace. Знайдена дірка є варіантом обходу фільтрів в HTML Injection уразливості опублікованій на десятий день Місяця багів в MySpace. Котра дозволяє виконати XSS атаку.

Раніше я вже писав про інші уразливості на myspace.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.12.2007

XSS:

POST запит в параметрі zip на сторінці http://events.myspace.com/ index.cfm?fuseaction=events:

MySpace_XSS_exploit2

MySpace_XSS_exploit3

Дана уразливість вже виправлена.

This entry was posted on 20:36 22.12.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.