Нові уразливості на meta.ua
17:35 06.01.200716.10.2006
До раніше згадуваних уразливостей на meta.ua (Уразливості на meta.ua та Уразливість на lib.meta.ua), додам про нові уразливості на проектах пошукової системи МЕТА. Зокрема на проектах http://rabota.meta.ua та http://zakon.meta.ua.
Деякий час тому, 08.10.2006, після дослідження сайту про пошук роботи (Уразливість на www.prorobotu.net.ua), які періодично попадають в моє поле зору, я зайшов на ще один подібний сайт, на цей раз на Меті, і знайшов декілька Cross-Site Scripting уразливостей на rabota.meta.ua. А 12.10.2006, досліджуючи Безпеку сайту Верховної Ради України, знайшов уразливість на zakon.meta.ua. Про що найближчим часом сповіщу адміністрацію Мети.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
29.12.2006
XSS:
zakon.meta.ua
- alert(document.cookie)
Уразливість вже виправлена.
06.01.2007
XSS:
rabota.meta.ua
- alert(document.cookie)
- alert(document.cookie)
- цікавий
- html включення
Дані уразливості досі не виправлені.
На жаль Мета виправляє помилки вібірково - частину виправляє, частину ні (при тому, що нові діри, про які писав нещодавно, вони вже виправили і повідомили мені про це, а от деякі зі старих дір досі так і не виправили).
Понеділок, 17:01 15.01.2007
rabota.meta.ua - совместный проект. Мы уведомим разработчиков об уязвимостях и будем ждать пока они их исправят.
На своих проектах мы стараемся не допускать уязвимостей (особенно на ключевых проектах), и в случае их нахождения - исправлять в течении суток.
Вівторок, 14:14 16.01.2007 21de
Иван, теперь всё прояснилось, стало понятно почему вы сразу же не выправили указанные уязвимости на rabota.meta.ua. Главное, чтобы вы проследили за этим.
Ну а безопаность проектов Меты постоянно растёт, и по возможности все найденные уязвимости вы оперативно исправляете (весьма оперативно, по сравнению с другими проектами Уанета). Но всё же есть ещё что улучшать
, и я ещё буду не раз упоминать об уязвимостях в различных проектах Меты.