Уразливості на zoom.cnews.ru

15:50 23.10.2006

29.09.2006

В минулому місяці, 25.08.2006, знайшов декілька нових уразливостей (Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection) на популярному проекті http://www.cnews.ru. На цей раз на одному з проектів cnews.ru - http://zoom.cnews.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

Я вже раніше писав про попередні уразливості на сайтах власників cnews.ru (Нові уразливості на www.cnews.ru та Уразливості на сайтах РБК). Які й досі не виправлені.

23.10.2006

XSS:

Дана уразливість вже виправлена. Але не до кінця.

З невеличкою модифікацією, уразливість працює як і раніше.

XSS:

На даній сторінці також можливі SQL DB Structure Extraction (в коді сторінки) та SQL Injection.

Останні три уразливості вже виправлені. Як мені повідомив адміністратор проекту (лише першу уразливість не повністю виправили).


Leave a Reply

You must be logged in to post a comment.