Уразливості на infoteh.com.ua

20:25 12.01.2008

21.08.2007

У лютому, 16.02.2007, я знайшов Cross-Site Scripting, SQL Injection та Full path disclosure уразливості на сайті infoteh.com.ua (секюріті компанія). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

12.01.2008

XSS:

SQL Injection:

http://infoteh.com.ua/search.php?search=’%23

Full path disclosure:

http://infoteh.com.ua/search.php?search=’

Дані уразливості досі не виправлені.


6 відповідей на “Уразливості на infoteh.com.ua”

  1. DixonD каже:

    Я не розумію, ви писали їм і вони що, не виправили помилку??? А хоча б відповіли щось?

  2. MustLive каже:

    DixonD

    Вони не виправили жодної з трьох зазначених уразливостей (за 5 місяців як їм повідомив) і не відповіли мені. З подібним я регулярно стикаюся в своїй практиці соціального секюріті аудиту, котрим я займаюся щоденно. Часто або не відповідають, або не виправляють - але з тих хто зовсім не відповідає на мої листи, переважна частина все ж таки виправляє дірки, тому в більшості випадків уразливості виправляються і Інтернет стає більш безпечним.

  3. DixonD каже:

    Схоже це не єдині уразливості на цьому сайті. Після недовгого огляду я знайшов ще одну SQL Injection уразливість
    http://infoteh.com.ua/article.php?id=-1%20union%20select%200,’Caption’,'Text’/*

    Я думаю, сайт ще має інші уразливості, знайти їх справа часу

  4. inga каже:

    Добрый день! Сайт что описывается выше сделан мною, к сожалению я про эти все недочеты узнала только 2 дня назад, когда выпало сообщение, что сайт опасен для пользователей.
    Все исправила что вы писали выше. Как теперь сделать чтобы сообщение про опсность сайта исчезло?

  5. MustLive каже:

    Схоже це не єдині уразливості на цьому сайті.

    DixonD

    Цілком вірогідно, що на сайті є й інші уразливості. Наявність декількох вищезгаданих уразливостей демонструє стан безпеки на сайті (тому при бажанні можна знайти й інші дірки).

    Під час соціального секюріті аудиту я за звичай знаходжу одну, або декілька уразливостей (в даному випадку 3 дірки в пошуці). Як ти сам впевнився, на сайті є й інші дірки. Наприклад, сьогодні я зайшов перевірити чи виправленні ці уразливості й швидко знайшов нову дірку. Тому власникам сайту є куди підвищувати його безпеку.

  6. MustLive каже:

    я про эти все недочеты узнала только 2 дня назад, когда выпало сообщение, что сайт опасен для пользователей.

    inga

    Об уязвимостях на вашем сайте я писал его админам ещё в августе 2007. И учитывая его проблемы с безопасностью, неудивительно, что сайт взломали (такое ежедневно происходит в Уанете) и разместили на нём вредоносный код. О чём вы узнали от Гугла, когда он соответствующим образом пометил ваш сайт в результатах поиска.

    Хорошо, что вы сейчас задумались о безопасности вашего сайта. Но стоило об этом задуматься ранее, не дожидаясь, когда Гугл вас прижмёт.

    Все исправила что вы писали выше.

    Не всё, XSS уязвимость по прежнему работает. К тому же на сайте имеются и другие уязвимости - и пока будут дыры на сайте, нет никаких гарантий, что ваш сайт снова не взломают и не разместят вирусы.

    Как теперь сделать чтобы сообщение про опсность сайта исчезло?

    Вначале вам нужно убедиться, что на сайте нет вредоносного кода (что вирусы удалены со всех страниц сайта). И после этого, вам нужно обращаться к Гуглу, чтобы они сняли с вашего сайта ярлык “заражённого” (а для этого убедитесь, что сайт полностью чист).

Leave a Reply

You must be logged in to post a comment.