Уразливості на www.helsinki.org.ua
20:08 28.11.200927.07.2009
У грудні, 03.12.2008, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті http://www.helsinki.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
28.11.2009
Full path disclosure:
http://www.helsinki.org.ua/index.php?id=-
http://www.helsinki.org.ua/index.php?print=-
http://www.helsinki.org.ua/inc/creator.php
http://www.helsinki.org.ua/inc/data/page.php
XSS:
Дані уразливості вже виправлені, але не всі - перші дві Full path disclosure ще не виправлені.
Вівторок, 10:45 28.07.2009
/var/www/helsinki5/[cut].php
шукай ше sqlInj..
Вівторок, 23:53 28.07.2009
Так, саме цей шлях
. Як я зайшов на сайт (у грудні), я одразу знайшов 4 FPD, і на сайті м.б. ще інші FPD, як і багато інших уразливостей.
Це я залишу для всіх бажаючих, а також для адмінів сайта
. Які не слідкували за безпекою сайта весь цей час, може хоча б після мого повідомлення почнуть більше приділяти уваги безпеці (хоча як показує мій 4,5 літній досвід, після моїх повідомлень про дірки більша частина адмінів та веб девелоперів як забивала на безпеку, так і продовжують це робити).
А те, що SQLi на сайті є, то це без сумнівів - бо як сьогодні зайшов на сайт, щоб знайти емайл адміна, то я знайшов таку дірку.