Нова уразливість на www.shram.kiev.ua
23:55 11.03.2009У квітні, 16.04.2008, я знайшов нову Cross-Site Scripting уразливість на сайті http://www.shram.kiev.ua (на якому є й розділ про хакерство і безпеку). Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливість на www.shram.kiev.ua.
XSS:
P.S.
На сайті є чимало інших уразливостей. До чого можуть призвести дірки на сайті (що мають місце на www.shram.kiev.ua тривалий час) я продемонстрував безпосередньо на даному сайті .
Неділя, 16:57 15.03.2009
а можно перепроверить сайт?
Вівторок, 21:41 17.03.2009
Звичайно можна, Тарас. Щойно перевірив як ти виправив цю і попередню уразливість в себе на сайті.
Попередня XSS виправлена, а от нова XSS виправлена не повністю, тому фільтр легко обходиться і уразливість знову працює (деталі вишлю тобі на емайл). Так що виправляй цю уразливість і слідкуй за безпекою свого веб сайту.
До речі, я дивлюся ти вже виправив мій хак в тебе на сайті .
Субота, 12:05 21.03.2009
а сейчас лучше?
я просто убрал ту строчку где выводила адрес сайта…
Страница: http://’.htmlspecialchars($_SERVER[’SERVER_NAME’]).htmlspecialchars($_GET[’file’]).”\r\n”; ?>
–>
я просто не знаю как ее закрыть - ваще в пхп не шарю
Середа, 23:57 01.04.2009
Тарас. По-перше, тобі треба до кінця виправити ту уразливість, яку ти вже чотири рази виправляв (після моїх обходів твоїх фільтрів).
По-друге, з приводу коду я вже тобі написав і ще додатково напишу по емайлу. І по-третє, $_SERVER[’SERVER_NAME’] в даному випадку можна було не використовувати.