Уразливості на ubr.ua

23:59 06.01.2009

У лютому, 25.02.2008, я знайшов Cross-Site Scripting та Information Leakage уразливості на проекті http://ubr.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Секюріті прогнози на 2008 рік

22:48 06.01.2009

Пропоную вашій увазі відео про секюріті прогнози на 2008 рік. В якому секюріті експерт Saumil Shah розповідає про власний секюріті досвід та свої прогнози в сфері безпеки на 2008 рік.

Security Predictions for 2008

До речі, торік я писав про свої прогнози розвитку веб безпеки в 2008 році. І можу сказати, що в більшості випадків мої прогнози справдилися.

Information Leakage в PHP

20:14 06.01.2009

Нещодавно була виявлена Information Leakage уразливість в PHP. Для якої був розроблений експлоіт. Уразливість має місце в бібліотеці GD для PHP.

  • PHP <= 5.2.8 gd library - imageRotate() Information Leak Vulnerability (деталі)

Уразливі версії PHP 5.2.8 та попередні версії.

Добірка уразливостей

17:29 06.01.2009

В даній добірці уразливості в веб додатках:

Уразливість в PHPSlideshow

23:56 03.01.2009

Учора, 02.01.2009, я знайшов Cross-Site Scripting уразливість в PHPSlideshow. Як раз коли виявив уразливість на eweek.com. Про що найближчим часом повідомлю розробникам веб додатку.

XSS:

Уразливість в index.php в параметрі directory.

http://site/slideshow/index.php?directory='%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Потенційно вразливі всі версії PHPSlideshow.

Численні уразливості в Adobe Flash

22:37 03.01.2009

В минулому році були виявлені численні уразливості безпеки в Adobe Flash.

Уразливі продукти: Adobe Flash Player 9.0, AIR 1.1, Flash CS4, Flash CS3, Flex 3.

Виконання коду, витік інформації, DoS.

Депутат розміщав секретну інформацію на своєму сайті

19:41 03.01.2009

Служба безпеки нещодавно порушила кримінальну справу за розголошення державної таємниці народним депутатом від Партії регіонів Василем Грицаком.

Парламентарій, якого вважають головним лобістом інтересів консорціуму ЕДАПС, нещодавно опублікував на своєму веб сайті закрите рішення Ради нац.безпеки. У ньому члени РНБО визнали, що монопольне положення Едапса на ринку виробництва документів строгої звітності, паспортів і елементів голографічного захисту завдав серйозної шкоди державі. Порушення кримінальної справи за розголошення закритого рішення РНБО, розміщеного на сайті Василя Грицака, означає, що депутат опублікував дійсний текст рішення.

По матеріалам http://ain.com.ua.

P.S.

Це ще один випадок за останні місяці, коли депутати розміщували на сайтах секретну інформацію. На минулому тижні і на даний момент сайт Грицака В.М. працює, але не виключена можливість ситуації подібної до тої, коли СБУ закрила сайт Daily-UA, за розміщення секретної інформації.

Добірка експлоітів

16:08 03.01.2009

В даній добірці експлоіти в веб додатках:

  • Minishowcase 09b136 (lang) Local File Inclusion Vulnerability (деталі)
  • Gregarius <= 0.5.4 rsargs[] Remote SQL Injection Vulnerability (деталі)
  • HIOX Browser Statistics 2.0 Arbitrary Add Admin User Exploit (деталі)
  • Article Friendly Pro/Standard (categorydetail.php Cat) SQL Injection Vulnerability (деталі)
  • HIOX Random Ad 1.3 Arbitrary Add Admin User Exploit (деталі)
  • ZeeReviews (comments.php ItemID) Remote SQL Injection Vulnerability (деталі)
  • nzFotolog 0.4.1 (action_file) Local File Inclusion Vulnerability (деталі)
  • PHP Hosting Directory 2.0 Insecure Cookie Handling Vulnerability (деталі)
  • Pligg <= 9.9.0 (XSS/LFI/SQL) Multiple Remote Vulnerabilities (деталі)
  • Scorp Book <== v1.0 (smilies.php) Remote File Include Exploit (деталі)

Уразливості на eweek.com

23:55 02.01.2009

eWEEK - це онлайн ЗМІ, що також пише на тему безпеки. У лютому, 14.02.2008, я знайшов Cross-Site Scripting уразливість на сайті http://www.eweek.com. Яку вони з часом виправили, тому сьогодні я знайшов нову уразливість на їхньому сайті. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про редиректор на www.eweek.com.

XSS:

http://www.eweek.com

http://etech.eweek.com

Безпека веб додатків

22:42 02.01.2009

Пропоную вашій увазі відео про Web Application Security. В якому секюріті експерт Jeremiah Grossman розповідає про безпеку веб додатків та особливості webappsec галузі інформаційної безпеки.

Web Application Security with Jeremiah Grossman

В відео-ролику Джеремія також розповідає про свою компанію та власний досвід у сфері безпеки веб додатків.