Websecurity - Веб безпека

15.06.2009

У червні, 11.06.2009, я знайшов Insufficient Authentication, Cross-Site Scripting та SQL Injection уразливості в XAMPP. Про що найближчим часом сповіщу розробникам.

Нещодавно я вже писав про численні уразливості в XAMPP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

21.07.2009

Insufficient Authentication:

http://site/xampp/

Зустрічаються сайти, де доступ да адмінки XAMPP не обмежений паролем.

XSS:

POST запит на сторінці http://site/xampp/adodb.php

"><script>alert(document.cookie)</script>В полях: Database server, Host, Username, Password, Current database, Selected table.

SQL Injection:

Атака відбувається при доступі в адмінку XAMPP - через вищезгадану Insufficient Authorization уразливість, або через знайдену раніше Insufficient Authorization уразливість.

На сторінці http://site/xampp/adodb.php

cds where 1=0 union select version(),0,0,0В полі Selected table.

Уразливі XAMPP 1.6.8 та попередні версії. Та потенційно наступні версії (включно з останньою версією XAMPP 1.7.1).

This entry was posted on 19:25 21.07.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.