Уразливості на zoom.cnews.ru
15:50 23.10.200629.09.2006
В минулому місяці, 25.08.2006, знайшов декілька нових уразливостей (Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection) на популярному проекті http://www.cnews.ru. На цей раз на одному з проектів cnews.ru - http://zoom.cnews.ru. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше.
Я вже раніше писав про попередні уразливості на сайтах власників cnews.ru (Нові уразливості на www.cnews.ru та Уразливості на сайтах РБК). Які й досі не виправлені.
23.10.2006
XSS:
Дана уразливість вже виправлена. Але не до кінця.
З невеличкою модифікацією, уразливість працює як і раніше.
XSS:
На даній сторінці також можливі SQL DB Structure Extraction (в коді сторінки) та SQL Injection.
Останні три уразливості вже виправлені. Як мені повідомив адміністратор проекту (лише першу уразливість не повністю виправили).