Уразливості на cuckoosegg.com
15:04 07.09.201019.05.2009
У травні, 17.05.2009, я знайшов SQL Injection, Full path disclosure та Information Leakage уразливості на сайті http://cuckoosegg.com. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше.
07.09.2010
SQL Injection:
http://cuckoosegg.com/akmaagb/index.php?action=jump&id=-1%20union%20select%20version()
Full path disclosure:
http://cuckoosegg.com/akmaagb/config.inc.php
Information Leakage:
http://cuckoosegg.com/akmaagb/index.php
В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.
Дані уразливості досі не виправлені.
Зазначу, що в той же день, як знайшов уразливості, я лагідно похакав даний сайт, щоб безпосередньо на сайті повідомити адміна про дірки на його проекті. Але він проігнорував мої повідомлення і до сих пір їх не виправив.
Вівторок, 16:41 07.09.2010
пр0, тиц0 , адмін сайту навпевно давно забив на нього )
Вівторок, 19:47 07.09.2010
Схоже, що забив, але не повністю
.
З однієї сторони ні на мій лист, ні на моє повідомлення безпосередньо в нього на сайті він не відреагував (і дірки не виправив). З іншої сторони, на відміну від адміна сайта raagz.com (який повністю відмовився від нього і тепер його домен використовують PPC-шніки), адмін цього сайта все ще його підтримує (проплачує домен і хостінг). Якщо на розробку і підтримку сайта його вистачає (в тому числі і гроші він на це виділяє), то на те, щоб слідкувати за безпекою - вже ні. Що є поширеним явищем в Інтернеті.