Уразливість на vecher.od.ua
23:59 24.03.2009У липні, 15.07.2008, я знайшов Cross-Site Scripting уразливість на проекті http://vecher.od.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
XSS:
У липні, 15.07.2008, я знайшов Cross-Site Scripting уразливість на проекті http://vecher.od.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
XSS:
This entry was posted on 23:59 24.03.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.
You must be logged in to post a comment.
Copyright © 2006-2024 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.
Середа, 17:30 25.03.2009
( Исправлю - удалением этого каталога. Все равно им давно не пользуюсь. Странно, что нашли уязвимость в июле, а предупредили сейчас
Четвер, 23:58 26.03.2009
Kirill
Всегда пожалуйста (хотя в вашем сообщении о спасибо вы позабыли, но второй адинистратор вашего сайта в ответе по емайлу спасибо мне всё же сказал).
Это тоже вариант. Многие владельцы сайтов, когда не могут исправить уязвимость (или некогда, или лень), особенно когда веб приложение не особо актуально, просто убирают его с сайта. Но заметьте, что это лишь одна уязвимость на вашем сайте, которая демонстрирует общую ситуацию с его безопасностью. И дыр на вашем сайте может быть немало. И, к примеру, PostNuke - ваш основной движок - вы уже таким образом (путём удаления) не пофиксите. Уязвимости в нём уже придётся исправлять, как и во всех тех веб приложениях, которые являются актуальными для вашего сайта.
Во-первых, об уязвимостях в CNCat я писал ещё в июле прошлого года. О чём также сообщал в багтреки. Поэтому любой серьёзный пользователь движка CNCat, который следит за информацией у меня на сайте и/или в багтреках, ещё в прошлом году мог узнать об этих уязвимостях.
Во-вторых, эта версия движка старая, и разработчики давно выпустили новые версии, где эта и другие уязвимости были исправлены. Но при этом допустили новую дыру, о чём я писал.
В-третьих, это социальный секюрити аудит и я публикую информацию (и оповещаю админов сайтов) в порядке хронологии. Как видно из моих новостей, сейчас как раз начал публиковать информацию за июнь-июль 2008 года. Кому нужно оперативно получить информацию об уязвимостях на своём сайте, тот заказывает аудит безопасности.
Середа, 23:46 28.10.2009
Извините, что не поблагодарил. Спасибо.
П'ятниця, 23:57 30.10.2009
Kirill, всегда пожалуйста.
Всегда уделяйте внимание безопасности всех ваших веб сайтов и веб приложений.