Websecurity - Веб безпека

24.05.2007

У січні, 04.01.2007, я знайшов Cross-Site Scripting уразливості на проекті http://telegraf.by (онлайн ЗМІ). В тому числі уразливості в пошуці на Яндекс.XML (сайтів з дірками в пошуці, що базується на Яндекс.XML я зустрічав чимало). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.10.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

На іншому проекті Телеграф (mail.telegraf.by) є також дві XSS в DOM уразливості, але з недавніх пір цей піддомен не працює (тому і не приводжу їх). Причому дані уразливості в пошуці на Яндекс.XML.

This entry was posted on 19:49 09.10.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.