Уразливість на vecher.od.ua

23:59 24.03.2009

У липні, 15.07.2008, я знайшов Cross-Site Scripting уразливість на проекті http://vecher.od.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

XSS:


4 відповідей на “Уразливість на vecher.od.ua”

  1. Kirill каже:

    ( Исправлю - удалением этого каталога. Все равно им давно не пользуюсь. Странно, что нашли уязвимость в июле, а предупредили сейчас :(

  2. MustLive каже:

    Kirill

    Всегда пожалуйста (хотя в вашем сообщении о спасибо вы позабыли, но второй адинистратор вашего сайта в ответе по емайлу спасибо мне всё же сказал).

    Исправлю - удалением этого каталога.

    Это тоже вариант. Многие владельцы сайтов, когда не могут исправить уязвимость (или некогда, или лень), особенно когда веб приложение не особо актуально, просто убирают его с сайта. Но заметьте, что это лишь одна уязвимость на вашем сайте, которая демонстрирует общую ситуацию с его безопасностью. И дыр на вашем сайте может быть немало. И, к примеру, PostNuke - ваш основной движок - вы уже таким образом (путём удаления) не пофиксите. Уязвимости в нём уже придётся исправлять, как и во всех тех веб приложениях, которые являются актуальными для вашего сайта.

    Странно, что нашли уязвимость в июле, а предупредили сейчас

    Во-первых, об уязвимостях в CNCat я писал ещё в июле прошлого года. О чём также сообщал в багтреки. Поэтому любой серьёзный пользователь движка CNCat, который следит за информацией у меня на сайте и/или в багтреках, ещё в прошлом году мог узнать об этих уязвимостях.

    Во-вторых, эта версия движка старая, и разработчики давно выпустили новые версии, где эта и другие уязвимости были исправлены. Но при этом допустили новую дыру, о чём я писал.

    В-третьих, это социальный секюрити аудит и я публикую информацию (и оповещаю админов сайтов) в порядке хронологии. Как видно из моих новостей, сейчас как раз начал публиковать информацию за июнь-июль 2008 года. Кому нужно оперативно получить информацию об уязвимостях на своём сайте, тот заказывает аудит безопасности.

  3. Kirill каже:

    Извините, что не поблагодарил. Спасибо.

  4. MustLive каже:

    Kirill, всегда пожалуйста.

    Всегда уделяйте внимание безопасности всех ваших веб сайтов и веб приложений.

Leave a Reply

You must be logged in to post a comment.