О безопасности всерьез #1
Не так давно зарегистрировался на сайте kset.kz, интересная соц.сеть, все сделано на должном уровне. Нравится и оформление и контент.
Но! для людей занимающихся Информационной Безопасностью больше всего интересует другой вопрос :)
И так проведя поверхностный анализ сайта, удалось найти активные и пассивные XSS (скрин активной ниже), а так же возможность удалять чужие комментарии в новостях.
О том что на сайте есть серьезные уязвимости я сообщил в тех.поддержку, но ответа не получил.
Хочу обратить внимание, что это только поверхностный анализ, для полного к сожалению не хватает времени и сил, но если кто захочет капать дальше, то думаю найдет еще много интересного.
P.S. Если есть интересные ресурсы пишите: sys32_89@mail.ru, проверю и отчет выложу сюда :)