kset.kz — pentest!

О безопасности всерьез #1

Не так давно зарегистрировался на сайте kset.kz, интересная соц.сеть, все сделано на должном уровне. Нравится и оформление и контент.

Но! для людей занимающихся  Информационной Безопасностью больше всего интересует другой вопрос :)

И так проведя поверхностный анализ сайта, удалось найти активные и пассивные XSS (скрин активной ниже), а так же возможность удалять чужие комментарии в новостях.

О том что на сайте есть серьезные уязвимости я сообщил в тех.поддержку, но ответа не получил.

Хочу обратить внимание, что это только поверхностный анализ, для полного к сожалению не хватает времени и сил, но если кто захочет капать дальше, то думаю найдет еще много интересного.

P.S. Если есть интересные ресурсы пишите: [email protected],  проверю и отчет выложу сюда :)