Уразливості на www.pk.kiev.ua
19:38 05.05.200911.09.2007
У січні, 09.01.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting, SQL DB Structure Extraction, Full path disclosure, SQL Injection та DoS уразливості на проекті http://www.pk.kiev.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
05.05.2009
Зараз сайт http://www.pk.kiev.ua змінив домен на http://mycityua.com.
XSS:
SQL DB Structure Extraction:
http://www.pk.kiev.ua/search/?search=-
http://www.pk.kiev.ua/search/?search=1§ion%5B10%5D=10-
http://www.pk.kiev.ua/search/?search=1&ordnung=date-
Full path disclosure:
http://www.pk.kiev.ua/search/?search=1§ion%5B10%5D=10-
SQL Injection:
http://www.pk.kiev.ua/search/?search=news§ion%5B10%5D=1000%20or%201=1/*
DoS (через SQL Injection):
http://www.pk.kiev.ua/search/?search=1§ion%5B10%5D=1%20or%20chapter!=1000/*
Дані уразливості вже виправлені. Але як щойно глянув, в пошуці на оновленому сайті також є уразливості (Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection), про що я з часом напишу.
Середа, 08:46 12.09.2007
Hi MustLive..you have a project on www.pk.kiev.ua? the transtool you gave me doesn’t works well heheh
Середа, 18:23 12.09.2007
Hi Zoiz!
Yeah, I know that automatic translators are not so good (and that tool in particular).
No, man, it’s not my project. It is site where I found (in January) many holes - Cross-Site Scripting, SQL DB Structure Extraction, Full path disclosure, SQL Injection and DoS vulnerabilities. And I already sent message to admins of the site about these holes.
I found vulns everyday on many sites in Internet. And I contact admins to inform them about holes at their sites (with announcement in my news without details). It is my work of social security audit (as I call it).
Середа, 18:32 12.09.2007
And Zoiz.
Like I wrote in my post Bypassing CAPTCHA, I’ll write an article about my MustLive CAPTCHA bypass method. I’ll make article on Ukrainian and English, so you will can easily read it.
And I am planning to make event about bypassing a lot of CAPTCHAs (with my method). So wait for official announcement.
Четвер, 04:11 13.09.2007
Ok…thanks so much bro I’ll come and check it very often
Четвер, 16:43 13.09.2007
You are welcome, man
П'ятниця, 02:57 26.10.2007
Zoiz. I already announced my new project Month of Bugs in Captchas.