Websecurity - Веб безпека

29.09.2006

В минулому місяці, 25.08.2006, знайшов декілька нових уразливостей (Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection) на популярному проекті http://www.cnews.ru. На цей раз на одному з проектів cnews.ru - http://zoom.cnews.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

Я вже раніше писав про попередні уразливості на сайтах власників cnews.ru (Нові уразливості на www.cnews.ru та Уразливості на сайтах РБК). Які й досі не виправлені.

23.10.2006

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але не до кінця.

• alert(document.cookie)
• цікавий
• html включення

З невеличкою модифікацією, уразливість працює як і раніше.

XSS:

• alert(document.cookie)

На даній сторінці також можливі SQL DB Structure Extraction (в коді сторінки) та SQL Injection.

Останні три уразливості вже виправлені. Як мені повідомив адміністратор проекту (лише першу уразливість не повністю виправили).

This entry was posted on 15:50 23.10.2006 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.