گزارش چند آسیب پذیری در وب سایت امن پرداز
ارسال شده: پنجشنبه دسامبر 10, 2015 1:11 am
سلام
امروز همینطوری حدود 4 یا 5 ساعت داشتم سایت شرکت امن پرداز رو چک میکردم که به 3 تا باگ برخوردم تصمیم گرفتم بهتون اطلاع بدم و همچنین یه بهونه ای بشه یه پست برای بلاگ بزنم...
خب از اوجایی که حوصله توضیح و تایپ کردن رو ندارم برای هر باگ یه ویدو درست کردم که اطلاعات اضافی رو همینجا میگم.
باگ اول :
خب اولین باگ اینطوریه که ما میتونیم به همه ی فایل هایی که توسط هرکی Attachment شده رو ببینیم ، لینک ویدیو :
http://www.aparat.com/v/wZprP
باگ دوم :
علاوه بر اینکه ما میتونیم Attachment هارو ببینیم میتونیم هرکدام را پاک نیز بکنیم :eek: ، لینک ویدیو :
http://www.aparat.com/v/5vEPL
باگ آخر :
باگ آخر هم یه xss خیلی ساده هست ! و سوال اینجاست که چرا هیچ فیلتری روی ورودی صورت نگرفته ؟! ، لینک ویدیو :
http://www.aparat.com/v/MOCkJ
امروز همینطوری حدود 4 یا 5 ساعت داشتم سایت شرکت امن پرداز رو چک میکردم که به 3 تا باگ برخوردم تصمیم گرفتم بهتون اطلاع بدم و همچنین یه بهونه ای بشه یه پست برای بلاگ بزنم...
خب از اوجایی که حوصله توضیح و تایپ کردن رو ندارم برای هر باگ یه ویدو درست کردم که اطلاعات اضافی رو همینجا میگم.
باگ اول :
خب اولین باگ اینطوریه که ما میتونیم به همه ی فایل هایی که توسط هرکی Attachment شده رو ببینیم ، لینک ویدیو :
http://www.aparat.com/v/wZprP
باگ دوم :
علاوه بر اینکه ما میتونیم Attachment هارو ببینیم میتونیم هرکدام را پاک نیز بکنیم :eek: ، لینک ویدیو :
http://www.aparat.com/v/5vEPL
باگ آخر :
باگ آخر هم یه xss خیلی ساده هست ! و سوال اینجاست که چرا هیچ فیلتری روی ورودی صورت نگرفته ؟! ، لینک ویدیو :
http://www.aparat.com/v/MOCkJ