Уязвимости на www.rozetka.com.ua
11.08.2008
В ноябре, 21.11.2007, я нашел Denial of Service и Cross-Site Scripting уязвимости на проекте http://www.rozetka.com.ua. Что в ближайшее время извещу администрацию проекта
Касательно дырок на сайтах онлайн магазинов последний раз я писал об уязвимости на mister-rich.com
Подробная информация об уязвимости появится позже. Надо дать время админа на реакцию по этому поводу.
11.02.2009
уязвимости касаются обоих доменов http://www.rozetka.com.ua и http://rozetka.kiev.ua
DoS:
В поиске по сайту запрос “1″ приводит к перегрузки БД. И чем более глубокие результаты поиска, тем больше нагрузка
http://www.rozetka.com.ua/index.php?page=search&lang=ru&search_text=1
http://www.rozetka. com.ua / index.php? page = search & lang = ru & search_text = 1 & pno = 300
http://www.rozetka.com.ua/index.php?page=search&lang=ru&search_text=1&pno=990
(# ) XSS:
alert (document.cookie) alert (document.cookie) цикавийhtml включения (www.rozetka.com.ua) html включения (rozetka.kiev.ua)
Данные уязвимости до сих пор не исправлены.
