Websecurity - Веб безпека

29.10.2006

В минулому місяці, 09.09.2006, я знайшов чимало уразливостей на відомому проекті http://job.ukr.net (кілька SQL Injection, SQL DB Structure Extraction та Cross-Site Scripting). Про що найближчим часом сповіщу адміністрацію проекту.

Це далеко не перший випадок уразливостей на сайтах про роботу. Я вже писав раніше про інші уразливі сайти про роботу, зокрема Нові уразливості на meta.ua, Уразливості на 101.kiev.ua, Уразливість на www.prorobotu.net.ua та інші.

Детальна інформація про уразливості з’явиться пізніше.

07.12.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)

SQL DB Structure Extraction:

http://job.ukr.net/viewvac/index.php?categ=1&region=1-

В коді сторінки виводить структуру БД сайту.

SQL Injection:

• SQL запит до таблиці vacancy
• SQL запит до таблиці agency

Дані уразливості вже виправлені. Але адміни виправили не всі уразливості, про які я їм повідомив.

SQL Injection:

• SQL запит до таблиці agency

Дана SQL Injection так і не була виправлена. Використовуйте цю уразливість на власний страх і ризик . Поки вона працює і доки її не виправлять адміни job.ukr.net.

This entry was posted on 16:26 07.12.2006 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.